Sobre la figura del Delegado de Protección de Datos

La reciente entrada en vigor del nuevo Reglamento europeo en materia de protección de datos personales ha significado la puesta en marcha de la figura denominada Delegado de Protección de Datos, o DPO en sus siglas inglesas (Data Protection Officer).

En esta figura se incardina aquella persona independiente que con una función claramente preventiva y proactiva, supervisa, coordina y transmite la política de protección de datos tanto en el interior de la institución como desde dentro hacia el exterior, siendo el punto de encuentro entre el responsable del fichero o tratamiento, el afectado y la autoridad de control, mucho más por tanto que el simple punto de unión a modo de bisagra entre el departamento de seguridad de la organización y el de privacidad o de protección de los datos personales.

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos, corresponde su designación al responsable y el encargado del tratamiento, siempre que:

a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Como consecuencia de ello, todos los organismos públicos están obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), aunque también es cierto que el Reglamento posibilita que un conjunto de organismos disponga de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Además de las entidades públicas, las empresas privadas que traten datos personales sensibles (etnia, salud…) “a gran escala” (que traten datos sensibles de forma sistemática y habitual y de forma masiva) tendrán que contratar los servicios de un Delegado de Protección de Datos.

Dadas las funciones que este Delegado debe llevar a cabo, lo lógico es que deba tener experiencia en las leyes y prácticas europeas en materia de protección de datos y un conocimiento profundo del Reglamento. También es necesario que las autoridades de supervisión promuevan una formación adecuada, aunque se echa en falta una regulación concreta de su figura.

Al mismo tiempo, el DPO debe tener una comprensión suficiente de las operaciones de tratamiento realizadas, así como de la información, sistemas y seguridad de los datos y las necesidades de protección de datos del controlador. Y en el caso de una autoridad u organismo público, también debe tener un conocimiento de las actividades administrativas y procedimientos de la organización.

Francisco Corpas

Autor Francisco Corpas

Francisco Corpas es abogado, profesor y, en los pocos ratos libres que le quedan, músico compositor. Como pasa muchas horas al día hablando en jurídico, promete dejar ese lenguaje aparte en este blog, siempre que sea posible. Pero intentará acercar el Derecho desde una perspectiva más cálida y humana

Leave a Comment