Con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD) por el Consejo y el Parlamento Europeo el pasado 14 de abril, quedan despejadas algunas dudas, y pendientes otras, en relación con la figura del Delegado de Protección de Datos (en inglés, Data Protection Officer, DPO). Esta figura es nueva en España pero tiene ya un largo recorrido en otros países de la Unión Europea, especialmente en Alemania, primer país en incluirla en su normativa nacional sobre protección de datos personales.

Conviene tener claro el perfil profesional que debe tener esta nueva figura en materia de Protección de Datos y, para ello, la Guía publicada por la UE sobre el DPO, nos sirve de orientación.

Experiencia y habilidades del DPO

El apartado 5 del artículo 37 dispone que el Delegado de Protección de Datos “se designará sobre la base de cualidades profesionales y conocimiento de la legislación y las prácticas en materia de protección de datos y la capacidad contemplados en el artículo 39 “. Por tanto, el nivel necesario de conocimientos será determinado de acuerdo con las operaciones de tratamiento de datos realizadas y la Protección de Datos personales procesados.

DPO sobre la base de un contrato de servicios

La función del DPO también puede ejercerse sobre la base de un contrato de servicios celebrado con una persona o una organización fuera de la organización del controlador / procesador. En este último caso, es esencial que cada miembro de la organización que ejerza las funciones de un DPO cumpla todos los requisitos de la Sección 4 del GDPR (por ejemplo, es esencial que nadie tenga un conflicto de intereses). Es igualmente importante que cada uno de esos miembros esté protegido por las disposiciones del GDPR

Al mismo tiempo, se pueden combinar fuerzas para que varias personas, trabajando en equipo, puedan servir más eficientemente a sus clientes.

El nivel necesario de conocimientos será determinado de acuerdo con las operaciones de tratamiento de datos realizadas y la Protección de Datos personales procesados.

En aras de la claridad jurídica y de la buena organización, se recomienda disponer de una designación de tareas dentro del equipo de DPO y para asignar a un solo individuo como contacto principal para cada cliente. En general, también sería útil especificar estos puntos en el contrato de servicio.

Publicación y comunicación de los datos de contacto del DPO

El artículo 37, apartado 7, del GDPR exige al responsable del tratamiento o del transformador:

El objetivo de estos requisitos es garantizar que los interesados (tanto dentro como fuera de la Organización) y las autoridades de supervisión pueden contactar de forma fácil, directa y confidencial con el DPO sin tener que contactar con otra parte de la organización.

Los datos de contacto del DPO deben incluir información que permita a las personas y a las autoridades competentes llegar al RPD de una manera fácil. Cuando proceda, a efectos de la comunicación con el público, otros medios de comunicación también podrían proporcionarse, por ejemplo, una línea directa dedicada o un formulario de contacto dirigido al DPO en el sitio web de la organización.

El apartado 7 del artículo 37 no exige que los datos de contacto publicados incluyan el nombre del DPO. Aunque puede ser una buena práctica hacer esto, es para el controlador y el DPO decidir si esto es necesario o útil en las circunstancias particulares.

Como una buena práctica, se recomienda que una organización informe al supervisor, autoridad y empleados del nombre y datos de contacto del DPO. Por ejemplo, el nombre y los datos de contacto del RPD podrían publicarse internamente en la intranet de la organización, en el teléfono interno, directorio y organigramas.

Perfil profesional del Delegado de Protección de Datos
4.6 (91.43%) 7 votos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *