El nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor el pasado 25 de mayo, introducía la figura del Delegado de Protección de Datos –DPO, por sus siglas en inglés o DPD, por sus siglas en español– con el objetivo de crear un perfil encargado del control, supervisión y coordinación del cumplimiento de la nueva norma de ámbito europeo. Y, al igual que ocurrió con la normativa que lo genera, esta figura ha causado cierta confusión entre pymes y autónomos. Para empezar, ¿qué es un Delegado de Protección de Datos? ¿Es obligatorio para todas las empresas contar con esta nueva figura? ¿Cuáles son sus funciones? ¿Cómo se integra en la organización? ¿Tiene que estar en plantilla o ser un profesional independiente? ¿Qué tipo de formación debe tener? Muchas preguntas que, seguramente, os hayan surgido estos días.
Delegado de Protección de Datos, definición y requisitos
Es una nueva figura de responsabilidad en el ámbito de la seguridad y protección de datos. Según la nueva normativa, es una persona física o jurídica que garantiza el correcto tratamiento de los datos en una empresa, organización o entidad. Por decirlo de una manera más clara, es la figura que ayudará al responsable del tratamiento del fichero a cumplir con la normativa.
Su función principal, por lo tanto, es aplicar el nuevo reglamento y velar por su cumplimiento. Tiene un carácter proactivo y preventivo, lo que quiere decir que supervisará, controlará y coordinará todos aquellos aspectos relacionados con la seguridad y protección de los datos de tu empresa.
Puede ser un trabajador de plantilla, un trabajador autónomo o se puede optar por externalizar el servicio. En todo caso, debe garantizarse su independencia y, para que así sea, se blinda en el ejercicio de sus funciones, es decir, no puede ser destituido ni sancionado, a no ser que incurra en causas graves en el ejercicio de sus funciones.
En cuanto a los requisitos, debe tener conocimientos jurídicos, acreditar más de cinco años de experiencia en asuntos de protección de datos y una formación mínima de 180 horas llevando a cabo proyectos de esta índole, según el esquema facilitado por la propia Asociación Española de Protección de Datos (AEPD).
¿Es obligatorio para las pymes tener un DPD?
Es uno de los temas que más confusión ha generado entre las pequeñas empresas. Y la respuesta es no, no si tu empresa no se haya entre los supuestos marcados por la ley.
Y, a este respecto, lo que establece el Reglamento es la obligatoriedad de esta figura para las empresas que se hallen en alguno de estos supuestos:
- Organismos e instituciones públicas.
- Empresas que superen los 250 empleados.
- Empresas cuya actividad sea el tratamiento de datos, aunque no superen los 250 empleados.
- Entidades o empresas que manejan datos especialmente protegidos, como los referidos a la salud, religión, creencias, etc.
Para el resto de las empresas, el Reglamento dice que puede incluir un Delegado de Protección de Datos de forma voluntaria, aunque establece la recomendación de integrarlo en las organizaciones para garantizar el cumplimiento de la normativa en protección de datos.
Nombramiento y comunicación a la AEPD
Una vez incorporada la persona para cumplir con este perfil, bien de plantilla, autónomo o externalizado, la empresa debe proceder a su nombramiento y comunicación, en un plazo máximo de diez días, a la Agencia Española de Protección de Datos.
Los encargados del nombramiento del Delegado de Protección de Datos serán los responsables del fichero o encargados del tratamiento.
En cuanto a la comunicación, el RGPD establece que:
- Se publiquen los datos del Delegado de Protección de Datos.
- Se comuniquen estos datos de contacto a las autoridades supervisoras competentes.
Intranet, directorios internos de las empresas, publicación de los datos en el esquema de organización, etc., son algunas de las maneras de hacer públicos estos datos.
Formación y competencias
Para ejercer las funciones de un Delegado de Protección de Datos, es necesario disponer de una certificación profesional y acreditación de la misma. A este respecto, para ofrecer seguridad y fiabilidad tanto para las empresas que necesitan contratar los servicios de un profesional cualificado como para aquellas que van a incorporar esta figura a sus organizaciones, la Agencia Española de Protección de Datos ha optado por promover un esquema de certificación de DPD y establece las entidades acreditadas para certificarlos, en concreto, aquellas que han sido acreditadas por ENAC conforme a la norma UNE-EN ISO/IEC 17024:2012. En este enlace puedes ver cuáles son las entidades de certificación acreditadas por la ENAC.
En cuanto a las competencias inherentes a esta nueva figura, el artículo 39 del Reglamento europeo especifica:
- Informar al responsable del tratamiento de datos de sus obligaciones en el tratamiento, derivadas tanto de la normativa europea como de la española.
- Supervisar el cumplimiento de la normativa.
- Asesorar la evaluación de impacto del tratamiento de datos personales.
- Actuar como intermediario entre la empresa y la Agencia de Protección de Datos.
Para finalizar, recordar que la ausencia de esta figura no exime a las empresas de su responsabilidad porque, aunque la implantación de la figura del Delegado de Protección de Datos es voluntaria para según qué empresas, el cumplimiento del Reglamento de Protección de Datos es obligatorio para todas las empresas, incluidas pymes y autónomos.