La figura del DPO (“Data Protection Officer”) ha sido objeto de intensos debates sobre su
carácter obligatorio y universal para todas las entidades e instituciones. Finalmente el
Delegado de Protección de Datos regulado en el Reglamento será un instrumento
voluntario para el responsable y el encargado del tratamiento, aunque con excepciones,
con el fin de velar por el cumplimiento legal y técnico en las entidades.
Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades,
empresas, instituciones o cualquier agente que procese datos personales. Si bien en la
práctica sería la persona ocupada de las cuestiones sobre protección de datos y
privacidad, su designación no exime a la propia institución u organización de
responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de
las normas del Reglamento.
2.2.2. Funciones.
Las entidades podrán determinar y ampliar las funciones de los Delegados de Protección
de Datos, que deberá tener al menos los siguientes cometidos:
2.2.3. Responsabilidades.
La figura del DPO queda definida así para las entidades e instituciones:
Con la incorporación del DPO se pretende dar una mayor fuerza a la figura del
Responsable de Seguridad, que es la persona que actualmente se debe asignar en las
organizaciones para velar por el correcto cumplimiento de la normativa de protección de
datos.
El DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de
Seguridad, ocurriendo que, sin apenas justificación, se elegía a profesionales sin la
adecuada capacitación. El DPO deberá ser designado atendiendo a sus cualidades
profesionales y, en particular, a sus conocimientos especializados de la legislación y las
prácticas en materia de protección de datos, y a su capacidad para ejecutar los cometidos
contemplados en el Reglamento.
El RGPD aclara que el responsable o el encargado velarán por que el DPO sea
plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio
de estos cometidos. No será destituido ni sancionado por el responsable o el encargado
del tratamiento por desempeñar sus cometidos. El delegado de protección de datos
informará directamente al más alto nivel de dirección del responsable o del encargado del
tratamiento.
En estos casos, el responsable del tratamiento está obligado, antes del tratamiento, a
realizar una evaluación del impacto de las operaciones de tratamiento previstas en la
protección de datos personales. Una única evaluación servirá para abordar una serie de
operaciones de tratamiento similares que planteen riesgos elevados similares.
3. Conclusiones prácticas.
El nuevo Reglamento General afecta a todas las entidades e instituciones que recaben y
procesen datos de carácter personal. En la actualidad, en plena expansión de la «sociedad
de la información» es prácticamente universal que todas las organizaciones y empresas
dispongan de bases de datos de contactos, clientes, empleados, miembros, proveedores,
etc.
Además, las entidades que traten datos sensibles (salud, origen racial, religión, vida
sexual, creencias, ideología política, afiliación sindical, etc.) están especialmente afectadas
por las normas del Reglamento: deberán cumplir, por ejemplo, especiales requisitos que
conciernen a la información y al consentimiento de los interesados, que deberá ser
claramente expreso y por tanto explícito, y obligatoriamente deberán designar un delegado
de protección de datos (DPO).
Entre las novedades más relevantes para las entidades que procesan datos personales,
sean o no sensibles, destacan las siguientes:
1) La aplicación del Reglamento es directa en todos los Estados miembros de UE, sin
necesidad de transposición normativa a los ordenamientos internos de cada Estado
miembro. Se trata de una única norma de protección de datos para todos los Estados de la
UE.
2) Las medidas a adoptar e implementar tienen como base el riesgo que conlleve el
tratamiento de los datos personales para el afectado.
El “Data Protection Officer” (DPO) tendrá que ser un profesional que acredite formación y
conocimientos especializados en materia de protección de datos, si bien podrá
establecerse mediante contratación externa o designación dentro de la plantilla de la
organización.