¿Necesita tu empresa un Delegado de Protección de Datos o DPO?

por

publicado el 5 julio 2017

Categorías: Abogados LOPD / Agencia Proteccion Datos / Derechos Fundamentales / General / Privacidad / Protección de Datos

Una de las novedades más interesantes tanto del Reglamento Europeo de Protección de Datos como del Anteproyecto de Modificación de la LOPD que lo desarrolla es la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés: data protection officer). En entradas anteriores ya comentamos como se recoge esta figura en el reglamento e incluso cómo se está regulando en otros países. El Delegado de Protección de Datos va a constituir uno de los elementos clave en materia de protección de datos y un garante del cumplimiento de la nueva normativa en las organizaciones. Por ello, conviene ir familiarizándose con las exigencias que incluye el anteproyecto en relación con el DPO y, en especial, que las empresas se planteen si van a necesitar un DPO.

En primer lugar, el anteproyecto precisa los supuestos en los que el nombramiento de un DPO será obligatorio. Contiene una amplia lista de las entidades que deberán designarlo:

  • Los colegios profesionales
  • Los centros docentes y universidades públicas y privadas
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Los prestadores de servicios de la sociedad de información que recaben información de los usuarios
  • Las entidades de crédito y establecimientos financieros de crédito
  • Las aseguradoras
  • Las empresas de servicio de inversión
  • Los distribuidores y comercializadores de energía eléctrica
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros para la gestión y prevención del fraude
  • Las entidades que desarrollen actividades de publicidad y prospección comercial
  • Los centros sanitarios
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
  • Las empresas de seguridad privada y despachos de detectives privados

En segundo lugar, recuerda, mediante una remisión al reglamento, que el DPO deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos. Sin embargo, no nos aclara la duda de si debe de ser un licenciado en derecho. En principio no parece que se exija tal titulación pero es indiscutible que tendrán que ser personas con formación específica en la materia. Para poder demostrar estos conocimientos y habilidades, La Agencia Española de Protección de Datos (AEPD) está promoviendo un modelo de certificación como Delegado de Protección de Datos. El certificado no será obligatorio aunque las condiciones de mercado pueden hacerlo imprescindible.

En tercer lugar, protege o blinda al delegado estableciendo que el delegado interno no podrá ser removido ni sancionado salvo que incurra en dolo o negligencia grave en el ejercicio de sus funciones.

Por último, el anteproyecto otorga al DPO una función que hasta ahora venía desarrollando la AEPD. Y es que los afectados podrán dirigir las reclamaciones directamente al delegado de protección de datos de la empresa contra la que se reclame, que deberá responder en un plazo máximo de dos meses. No solo eso sino que la propia agencia también podrá remitir las reclamaciones que le lleguen al delegado de protección de datos si el afectado no acudió a él previamente.

Esta figura es otro indicio más que demuestra la creciente importancia que se le otorga a la privacidad y al tratamiento de los datos, materia a la que las empresas van a tener que dedicar atención inevitablemente. Es un buen momento para actualizarse y contactar con los profesionales adecuados a fin de que la nueva regulación no pille por sorpresa.