El nuevo Reglamento europeo contiene regulación extensa sobre el DPO. No hace falta que cada Estado miembro regule sobre sus funciones y responsabilidades. Ni que piense que el nuevo Reglamento impone el DPO que existía hasta la fecha. No se trata de un DPO alemán ni un DPO francés. Se trata de un DPO europeo que ha tenido en cuenta los modelos de figuras parecidas en ciertos Estados miembros pero que no ha reproducido tal cual ninguno de ellos.

Lo que sí es necesario es contar con una guía armonizada a nivel de la UE que aclare ciertos aspectos que plantean sus dudas. Una guía que debe estar guiada por un espíritu flexible, ya que las necesidades y posibilidades de cada organización requerirán un tipo de DPO diferente, tanto en el ámbito público como en el privado. Esta es la guía que ha publicado la UE el pasado 13 de diciembre.

Participación del DPO

participacion-dpo

Es crucial que el DPO participe desde el primer momento posible en todas las cuestiones relacionadas con la protección de los datos. En relación con las evaluaciones del impacto de la protección de datos, el GDPR prevé la implicación temprana del DPO y especifica que el responsable del tratamiento debe solicitar.

Facilitará el cumplimiento del Reglamento general de Protección de Datos. Garantizará un enfoque de privacidad por diseño. Además, es importante que el DPO sea considerado como un socio de discusión dentro de la organización. Y que formen parte de los grupos de trabajo que se ocupan de las actividades de procesamiento de datos dentro de la organización.

En consecuencia, la organización debe garantizar, por ejemplo, que:

  • El DPO participe regularmente en reuniones de altos y medianos directivos.
  • Se recomienda su presencia cuando las decisiones que tengan repercusiones en la protección de datos sean tomadas. Toda la información pertinente debe ser transmitida al DPO de manera oportuna para que pueda proporcionar asesoramiento adecuado.
  • Siempre se debe tener en cuenta la opinión del Delegado de Protección de Datos. En caso de desacuerdo, se recomienda, como buena práctica, documentar las razones por las que no siguió el consejo del RPD.
  • El DPO debe ser consultado prontamente una vez que se ha producido una violación de datos u otro incidente. Cuando proceda, el responsable del tratamiento podrá elaborar directrices o programas que establezcan cuando se debe consultar al DPO.
Artículo 38 del GDPR

El responsable del tratamiento y el DPO estarán implicados, de manera adecuada y oportuna, en todas las cuestiones relacionadas con la protección de datos.

Medios exigidos por el RGPD para que el DPO realice sus funciones

El párrafo 2 del artículo 38 del GDPR exige que la organización apoye a su Delegado de Protección de Datos mediante los recursos necesarios para llevar a cabo sus tareas y acceso a los datos personales y las operaciones de protección.

En particular, se tendrán en cuenta los siguientes puntos:

  • Apoyo activo de la función del DPO por parte de la alta dirección (como a nivel de junta).
  • Tiempo suficiente para que los DPO,s cumplan sus funciones. Esto es particularmente importante cuando el DPO trabaje a tiempo parcial o cuando el trabajador realice la protección de datos además de otras obligaciones. De lo contrario, las prioridades conflictivas podrían dar lugar a que se descuiden los deberes del DPO. Tener tiempo suficiente para dedicar a las tareas de DPO es primordial. Es una buena práctica establecer un porcentaje de tiempo para la función DPO donde no se realiza a tiempo completo. Es también una buena práctica para determinar el tiempo necesario para llevar a cabo la función, el nivel adecuado de la prioridad para los deberes de los DPO, y para que el DPO (o la organización) elabore un plan de trabajo.

Otros aspectos que deben considerarse

  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, Equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal para asegurar que su existencia y su función es conocida dentro de la organización.
  • Acceso necesario a otros servicios, como Recursos Humanos, jurídicos, TI, seguridad, etc. Los Delegados de Protección de Datos pueden recibir apoyo esencial, aportaciones e información de esos otros servicios.
  • Entrenamiento continuo. Los DPO deberían tener la oportunidad de mantenerse actualizados en materia de Protección de datos. El objetivo debería ser aumentar constantemente el carácter de Expertos de los DPO. Deberían ser alentados a participar en cursos de formación sobre Protección de Datos y otras formas de desarrollo profesional, como la participación en foros de privacidad, Talleres, etc.
  • Dado el tamaño y la estructura de la organización, puede ser necesario establecer un equipo de DPO. En tales casos, la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros. Asimismo, cuando la función de DPO es ejercida por un proveedor de servicios externo, un equipo de profesionales que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de un DPO bajo responsabilidad de un contacto designado para el cliente.

En general, cuanto más complejas y sensibles sean las operaciones de procesamiento, más recursos deben proporcionarse al DPO.

La función de protección de datos debe ser eficaz y estar suficientemente cubierta en relación con el tratamiento de datos que se está llevando a cabo.

¿Seguir instrucciones o actuar de manera independiente?

El apartado 3 del artículo 38 establece algunas garantías básicas para garantizar que el DPO pueda realizar tareas con un grado suficiente de autonomía dentro de su organización. En particular, los controladores / procesadores están obligados a garantizar que el DPO no reciba ninguna instrucción en el ejercicio de sus funciones. Sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y tareas de manera independiente.

Esto significa que, en el desempeño de sus funciones en virtud del artículo 39, no se debe instruir los Delegados de Protección de Datos.

Por ejemplo, qué resultado debe lograrse, cómo investigar una queja o si se debe consultar a la autoridad de supervisión. Además, no se les debe dar instrucciones para que adopten una decisión sobre una cuestión relacionada con la ley de protección de datos, por ejemplo, una interpretación particular de la ley.

El controlador o procesador sigue siendo responsable del cumplimiento de la ley de protección de datos y debe ser capaz de demostrar ese cumplimiento.

Sin embargo, la autonomía de los DPO no significa que tengan poderes de decisión que van más allá de sus funciones en virtud del artículo 39.

El controlador o procesador sigue siendo responsable del cumplimiento de la ley de protección de datos y debe ser capaz de demostrar ese cumplimiento.

Si el controlador o procesador toma decisiones que son incompatibles con el GDPR y el consejo del DPO, éste debe tener la posibilidad de hacer valer su opinión discrepante clara para los que toman las decisiones.

Despido o pena por realizar tareas de DPO

El artículo 38, apartado 3, también exige que los DPO no sean despedidos o penalizados por el responsable del fichero por realizar sus tareas.

Este requisito también fortalece la autonomía del DPO. Y ayuda a asegurar que actúa de manera independiente y disfruta de una protección suficiente en la realización de sus tareas de protección de datos.

Las penas sólo están prohibidas por el GDPR si se imponen como resultado del ejercicio de sus funciones como RPD. Por ejemplo, un DPO puede considerar que es probable que un tratamiento origina un riesgo elevado y aconsejar al controlador o al procesador que lleven a cabo determinadas medidas. Si el controlador o el procesador no está de acuerdo con la evaluación del DPO este no puede ser despedido por proporcionar este asesoramiento.

¿Necesitas contratar un DPO?

Situación del Delegado de Protección de Datos
4.6 (92.5%) 8 votos