El Reglamento General de Protección de Datos (RGPD) ha creado la figura del Delegado de Protección de Datos, que constituye un garante del cumplimiento de la normativa de protección de datos en las organizaciones. El delegado de protección de datos es un especialista en protección de datos que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
Así, esta figura constituye una de las piezas clave del RGPD/LOPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, aunque la responsabilidad sobre este cumplimiento recae siempre sobre el responsable o encargado.
El RGPD y la nueva LOPD disponen que serán los responsables y encargados del tratamiento quienes deberán asignar un Delegado de Protección de Datos y enumeran los casos que debe designarse un DPO, entre los que destacamos:
a) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
b) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
c) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
d) Los establecimientos financieros de crédito.
e) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
f) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
g) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, aunque se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
h) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
i) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
j) Las empresas de seguridad privada.
El responsable y encargado del tratamiento –públicos o privados-, se ven obligados a garantizar la independencia del DPD, pues se ven obligados a designar a este sujeto en los supuestos previstos en los Reglamentos, Normativa Europea o Normativa Nacional o cuando fuere elegido de forma voluntaria.
A este respecto, hay que señalar que la independencia del DPD, que se entiende como autonomía para el desempeño de funciones, es una de las garantías básicas que establece el RGPD y que tienen que asegurar quienes lo designen. Esta autonomía debe entenderse como una garantía frente a posibles injerencias en el desarrollo de sus funciones, y está relacionada estrechamente con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos de carácter personal.
Cualquier tipo de insuficiencia en el desarrollo de las funciones del DPO implicaría vulnerar su estatuto jurídico pudiendo llegar, incluso, a vulnerar el derecho fundamental a la protección de datos personales. Por ejemplo, un error sería no proporcionar los recursos necesarios para el desarrollo de sus funciones.
El DPO no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento, dada su posición en la organización, tales como el propietario o presidente de la misma, el responsable de ficheros, el responsable del servicio médico, el responsable de recursos humanos, el responsable de marketing, el responsable de áreas de tecnología de la información, o cualquier otro puesto que desempeñe una función o tenga una posición que implique intervenir en la determinación de dichos fines y medios del tratamiento.
La normativa antes indicada establece expresamente que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos; a estos efectos, por conocimientos especializados, debe entenderse el resultado de una formación homologada, evitando el desarrollo de ciertas prácticas que pudieran ocasionar una falta de protección de datos, debido al desconocimiento de su mercado. Estos conocimientos deben ser los necesarios para identificar los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, y puede ser tanto una persona de la organización como, y muy especialmente, un profesional externo con formación debidamente homologada.
El DPD debe de formar parte de todos los análisis, debates o discusiones que tengan como materia directa o indirecta en tratamiento de datos personales en el seno de la organización. En el ejercicio de sus funciones, el DPD deberá reportar al consejo de administración u órgano equivalente de la organización, lo que requiere una línea de reporte funcional claramente identificada.
En Senex, Consejos de Buen Gobierno, contamos con certificación homologada por la ANF, Autoridad de Certificación, de acuerdo con el Esquema de la Agencia Española de Protección de Datos, por lo que podemos prestar el servicio de Delegado de Protección de Datos externo acreditando los conocimientos especializados que la normativa requiere.
Miguel Angel Blanes Pascual Socio – Director del Area de Compliance Senex, Consejos de Buen Gobierno, SL