Autor: Aitor Medina. Abogado en Derecho.com
La entrada en vigor de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (nueva LOPD) ha venido a completar aquellos aspectos que estaban difusos en el Reglamento General de Protección de Datos (RGPD). En particular, ha dado un poco más de luz a la figura del Delegado de Protección de Datos o Data Protection Officer (DPD o DPO), enumerando aquellas entidades que, por su actividad, sí deben deisgnar un DPO.
Pero ¿qué es un DPO y cuándo es necesaria su designación? Un DPO es una persona física o jurídica, interna o externa a la organización, encargado de, entre otras funciones, supervisar el cumplimiento de la normativa de protección de datos dentro de una empresa. Se trata, pues, de una persona que debe designarse atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en derecho y a la práctica en materia de protección de datos. Sin embargo, la Agencia Española de Protección de Datos, en aras de dar una mayor seguridad y confianza a las empresas que requieran de un DPO, ha elaborado el llamado Esquema de Certificación de DPD por el que se certifica que el DPD reúne los conocimientos necesarios para ejercer tal función, aunque cómo se ha indicado dicha certificación no es necesaria para ejercer como DPO.
Uno de los rasgos más significativos de la figura del DPO es su total autonomía e independencia en el ejercicio de sus funciones, en tanto en cuanto éste no podrá recibir ninguna instrucción ni tampoco ser persuadido para que tome decisiones viciadas en relación a la protección de datos.
En cuanto a su designación, el RGPD estableció que el DPO era obligatorio cuando nos encontrásemos en alguno de estos 3 supuestos, a saber: cuando el tratamiento lo realizaba una autoridad u organismo público; cuando el tratamiento exige un seguimiento regular y sistemático a gran escala y cuando el tratamiento de gran escala tenga que ver con datos de categoría especial y/o datos relativos a condenas e infracciones penales. La redacción dada por el RGPD creó mucha confusión debido a su poca precisión en determinar cuándo sí y cuándo no era obligatorio su designación. En este sentido, la nueva LOPD se ha guardado las espaldas por cuanto enumera hasta dieciséis casos en donde la designación de un DPO es taxativa, entre los que cabe destacar colegios profesionales, centros docentes de enseñanza, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, centros sanitarios, operadores que desarrollen actividad de juego o las federaciones deportivas cuando traten datos de menores de edad.
Así las cosas, no sólo las entidades anteriormente mencionadas deberán designar a un DPO, sino incluso aquellas PYME que por sus condiciones y características puedan encuadrarse dentro de los requisitos establecidos en la normativa europea y estatal.
En suma, puede decirse que la figura del DPO está en auge, máxime si se tiene en cuenta que la gran mayoría de entidades (ya no sólo a nivel personal sino también a nivel digital) manejan datos casi de manera sistemática. No obstante, se deberá estar al día sobre cómo evoluciona esta figura ya que por el momento los cambios legislativos son muy recientes.
________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien escribiéndonos a legal@derecho.com
Disculpa, debes iniciar sesión para escribir un comentario.