12
Ene
2018
0
Delegado de Protección de Datos

Delegado de Protección de Datos: ¿Pero eso qué es?

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

1.- El Delegado de Protección de Datos es una nueva figura

Se trata de un nuevo perfil, creado por el famoso Reglamento General de Protección de Datos o RGPD, el Delegado de Protección de Datos (“DPD” o “DPO”, en sus siglas en inglés, Data Protection Officer) es una nueva figura con importantes funciones y responsabilidades.

Como veremos, no es obligatorio que nombrarlo en todos los casos, y ni siquiera es necesario que sea un jurista, pero, ¡un momento!… no nos adelantemos.

2.- El Delegado de Protección de Datos asesora sobre lo que hay que hacer…

  • Tiene que informar y asesorar al responsable del tratamiento (es decir, a la organización, a la empresa), a sus directivos y a sus trabajadores.
  • Supervisar el cumplimiento de la normativa por parte de su cliente.
  • Concienciar y formar al personal en sus obligaciones y responsabilidades en protección de datos personales.

… pero no tiene que hacerlo él, necesariamente.

En realidad, el Delegado de protección de datos, indica lo que tiene que hacerse y cómo tiene que hacerse… Luego la empresa puede hacerlo… o no -y después, claro, que cada palo aguante su vela-.

En este sentido la figura se parece mucho a la del auditor, como veremos en seguida.

Delegado de protección de datos3.- El Delegado de Protección de Datos puede ser una figura obligatoria…

Según el RGPD deben nombrarlo:

  • Administraciones públicas, (está por ver el ámbito de nombramiento -¿un DPD por ayuntamiento?, ¿un DPD en la diputación provincial para municipios con menos de x habitantes?, ¿un DPD por Consejería?, Un DPD pata negra que coordine a otros DPDs sectoriales de competencia sectorial?, ¿un DPD para dominarlos a todos, atraerlos a todos y atarlos en las tinieblas?.
  • Entidades que -en resumen- realicen tratamientos de gran magnitud o especialmente intensos, ya sea por la naturaleza de sus tratamientos de datos o por la naturaleza de los datos personales tratados;

Y según el Proyecto -proyecto solamente, no lo olvidemos- de nueva LOPD, deben nombrar Delegado de protección de datos, además:

… o puede ser nombrado voluntariamente, pero bajo el mismo régimen.

4.- ¿Carne o pescado?

El delegado de protección de datos:

  • Puede ser un empleado de la empresa… o un profesional externo que preste este servicio.
  • Puede ser un jurista o un tecnólogo
  • El Delegado de Protección de Datos puede ser una persona física… o una persona jurídica.
  • El mismo DPD puede atender a múltiples organizaciones.
  • Puede estar certificado al haber pasado unas pruebas homologadas… o no. Será recomendable, pero no imprescindible.

5.- El Delegado de Protección de Datos se parece a un auditor…

  • Porque es obligatorio para las organizaciones nombrarlo en algunos casos (los citados anteriormente).
  • Porque tiene obligación de secreto sobre el ejercicio de sus funciones.
  • Es independiente y no se le pueden dar instrucciones sobre cómo debe desempeñar su cargo
  • Es nombrado por y reporta al máximo nivel jerárquico de cada organización (Junta General, Patronato, Asamblea, en el sector privado).

… y también se parece a los delegados sindicales…

Porque la empresa u organización no le puede destituir ni sancionar por motivos relacionados con el desempeño de sus funciones (sólo en caso de dolo o negligencia grave, p.ej.). Es más le tiene que dotar de los medios materiales y humanos que necesite para el desempeño de su función.

6.- El Delegado de Protección de Datos será el vínculo de conexión con la autoridad, con la AEPD

Será el interlocutor entre la empresa y organización y la AEPD en caso de denuncia, inspección, comunicación de brecha de seguridad, etc.

7.- El Delegado de Protección de Datos será también una especie de buzón de reclamaciones

Quien decida presentar una reclamación o denuncia en materia de protección de datos contra una organización:

  1. podrá presentarla directamente frente al DPD.
  2. o podrá presentarla ante la AEPD.

Pero es obvio que lo que se pretende es que se canalicen a través del DPD, porque… si el denunciante no lo ha intentado primero con él… la AEPD puede reenviarle la denuncia “para ver qué dice”. 

En estos casos el DPD…

…puede ejercer labores de mediación entre ciudadanos y las organizaciones a las que asesora.

Nadie mejor que él conoce la situación de la empresa en materia de protección de datos, y puede acercar posiciones entre las partes, y proponer un acuerdo o reparación para evitar que el conflicto llegue a las puertas de la AEPD.

Algo que conviene a ambas partes.

Y desde luego, conviene a la AEPD, que se va a pasar unos añitos saturadísima.

Esta función de mediación lo dice todo sobre la necesidad de que el Delegado de Protección de Datos se una figura realmente independiente.

Pero al final, ¿Qué será, será?

A continuación, mi apuesta sobre la realidad del Delegado de Protección de Datos en el futuro, una vez la nueva normativa y la nueva figura se hayan consolidado en la práctica.

  • Muchas, muchas empresas que no están formalmente obligadas a nombrarlo, nombrarán de todos modos un Delegado de Protección de Datos. Porque hacerlo no deja de ser un paso significativo en términos de accountability.
  • Cuando el nombramiento no sea obligatorio, el “agraciado” será normalmente un empleado de la organización.
  • Se contratará, adicionalmente, un servicio externo de apoyo especializado a este DPD interno.
  • Ese servicio será prestado por empresas “mixtas” integradas por profesionales jurídicos y tecnólogos. No hay otra manera de atender todos los desafíos que el Delegado de Protección de Datos debe afrontar.
  • Habrá más DPDs tecnólogos que juristas. Simplemente porque es más fácil para ellos aprender la parte jurídica que para nosotros, probes abogadillos, la técnica.
  • El Delegado de Protección de Datos “pura raza”, externo, seguramente quedará restringido a los sectores de nombramiento obligatorio, pero será igualmente desempeñado por empresas “mixtas”, en el sentido citado.

Y evidentemente, si buscan un Delegado de Protección de Datos, tienen uno aquí mismito.

Este post abre una serie dedicada a la adaptación al nuevo Reglamento de Protección de Datos, que continúa con los siguientes “episodios”:

  • Reglamento de Protección de Datos: Breve guía de uso.
  • Departamento de Recursos Humanos: “Zona Cero” de incumplimiento del RGPD
  • Empresas de marketing directo y RGPD: The walking dead.

Muy pero muy feliz semana.

Jorge García Herrero

jorge garcia herrero. abogado puntocero

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

You may also like

Brecha de Seguridad (y II) Top 3 de Riesgos
Brecha de seguridad
¿Qué es una Brecha de Seguridad? 7 ejemplos.
Cavoukian
“Cavoukian, contigo empezó todo”

Leave a Reply