¡Pide presupuesto en 2 min! ✓
DPO

Delegado de Protección de Datos, una profesión de futuro

6 Mins read

Delegado de protección de datos

La Sociedad de la Información continúa su imparable avance, mientras todos los ámbitos tratan de adaptarse a las nuevas realidades. El entorno multimedia y digital, en especial, está transformando nuestros modos de vida a un ritmo frenético. Ante ello, el Derecho también debe dar respuesta y cobertura a una serie de elementos y situaciones novedosos, establecer un marco regulatorio estable y común para países con mercados unidos y ofrecer las garantías suficientes para que los Derechos Fundamentales de sus ciudadanos no sufran ningún potencial perjuicio.

En el contexto de una sociedad mediatizada y en la que los datos constituyen una información delicada, ubicua y valiosísima, cobra más relevancia la necesidad de que quienes tienen acceso a ellos deban rendir cuentas ante figuras controladoras. Es aquí donde nace una nueva profesión, la de delegado de protección de datos, cuya naturaleza y futuro vamos a desgranar en el presente artículo.

Normativa reguladora

En abril de 2016, el Parlamento Europeo aprobó un Reglamento sobre Protección de Datos que sustituye a la anterior Directiva de 1995 y armoniza la normativa para toda la Unión Europea. Un Reglamento, al contrario que una Directiva, es de aplicación directa en los Estados miembros y no necesita otras leyes nacionales que lo desarrollen.

El Reglamento entró en vigor en mayo de 2018 e implica nuevas obligaciones en materia de protección de datos tanto para las empresas como para las Administraciones Públicas. En el contexto español, conlleva la actualización y el complemento de leyes como la LOPD.

Hasta ahora, la legislación española se basaba en los denominados derechos ARCO, acrónimo de Acceso, Rectificación, Cancelación y Oposición. En el nuevo marco jurídico surgido en 2018, los conceptos quedan encuadrados como derechos a la transparencia, la información, el acceso, la rectificación, la supresión o el derecho al olvido, la limitación del tratamiento, la portabilidad de datos y la oposición.

Delegado de protección de datos: Historia de una nueva profesión

Una de las principales novedades que implica el Reglamento es la obligatoriedad de la figura del delegado de protección de datos (data protection officer). El nuevo texto blinda al delegado y lo convierte en referencia importante para la empresa, que deberá facilitarle los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad. Sus datos de contacto deben ser públicos, para que interesados y supervisores puedan contactar con él de manera directa y confidencial.

En la tradición española, la profesión que puede presentar más semejanzas con la del delegado de protección de datos sería la de responsable de seguridad, aunque sus funciones son bastante diferentes a las que el Reglamento asigna al delegado (en adelante, también DPO, por sus siglas en inglés). En otros ordenamientos jurídicos, sí hay una tradición más asentada de figuras similares, como puede ser el Chief Privacy Officer del Reino Unido.

Funciones del DPO

Las funciones del DPO serán, entre otras:

  • Asesorar a los responsables del tratamiento de datos de la empresa y sus trabajadores sobre las obligaciones legales que deben cumplir.
  • Supervisar las tareas que conlleven tratamiento de datos.
  • Formar y concienciar al personal laboral.
  • Evaluar el impacto ante acciones de alto riesgo para los derechos de privacidad de las personas.
  • Cooperar con la Agencia de Protección de Datos y otros controladores y trabajar como “punto de contacto” de estas.

¿En qué casos será obligatorio contar con un delegado de protección de datos?

El artículo 37 del Reglamento fija la obligatoriedad de su designación en estos casos:

  1. Cuando el tratamiento de los datos sea realizado por una autoridad o un organismo público.
  2. Si las actividades principales del responsable consisten en un tratamiento de los datos que requiera un seguimiento continuo por parte de los interesados.
  3. Si las actividades principales del responsable implican el tratamiento a gran escala de datos especiales o personales referidos a condenas o delitos.

Debido a la inconcreción de muchos de sus artículos, varias de las expresiones anteriores han tenido que ser precisadas por el G29, un grupo de trabajo con vistas a clarificar el Reglamento y formado por autoridades en privacidad de todos los Estados miembros. Para empezar, “actividades principales” debe entenderse como la actividad primaria de la empresa, por lo que no se incluyen las empresas en las que el tratamiento de datos sea una función subsidiaria a su actividad central. “A gran escala”, por otro lado, es una disposición ciertamente imprecisa y que debería contener una cifra concreta. El G29 ha hecho saber que publicará umbrales que orienten al respecto. En cuanto a “seguimiento regular y sistemático”, también presente literalmente en el Reglamento, incluirá todos los modos de comportamiento online offline.

Más allá de los organismos públicos, que queda claro que deben contar con su correspondiente DPO, en los otros dos supuestos existen algunas indeterminaciones, que, como hemos visto, han provocado que el G29 se pronuncie. La Agencia Española de Protección de Datos (AEPD) ha difundido las directrices y orientaciones realizadas por el G29, pero, si una empresa aún duda sobre si debe contar con un delegado de protección de datos, debe realizar un informe al respecto en el que analice su eventual designación.

La adaptación al nuevo marco

El nuevo Reglamento se aplica desde el 25 de mayo de 2018, dos años después de su publicación original.

Una duda adicional debatida en el ámbito de la protección de datos es si el DPO puede ser la misma persona o consultoría que lleva a cabo las tareas de adecuación o auditoría de la empresa.

Perfil del DPO

El artículo 37, en sus puntos 5 y 6, establece que el DPO será designado o contratado según su capacidad para ejercer las atribuciones fijadas, a partir de sus cualidades profesionales y, concretamente, de sus conocimientos en materia de Derecho y protección de datos. Ser jurista es, por tanto, un plus clave, pero no una condición sine qua non.

Es importante recalcar que el delegado de protección de datos puede ser contratado externamente para realizar este servicio, pero también puede ser designado como tal entre el personal laboral que se encuentra ya en la plantilla de la empresa, siempre y cuando reúna los requisitos enunciados.

La misma Agencia Española de Protección de Datos reconoce que el Reglamento no concreta respecto a esos requisitos ni respecto al modo de acreditarlos, por lo que solo se cuenta con las disposiciones genéricas comentadas.

Certificación necesaria

La Agencia Española de Protección de Datos ha establecido un sistema de certificación de la figura del DPO, para acceder a la profesión, con un amplio catálogo de opciones de certificación y titulación para demostrar los conocimientos y la experiencia en el sector de la protección de datos.

Las certificaciones y los títulos ya existentes poseerán una gran importancia a la hora de designar o contratar a los delegados de protección de datos y, posteriormente, en el desarrollo de su profesión, pero no tienen por qué ser los únicos elementos de juicio.

La AEPD ha impulsado procesos de acreditación desde entidades de certificación, atendiendo a criterios ya fijados, y llevados a cabo por la Entidad Nacional de Acreditación (ENAC). En cualquier caso, reitera que esto no tendría naturaleza exclusiva y, por tanto, no sería el único modo para acreditar la formación y práctica exigidas, por lo que se seguiría pudiendo optar al puesto de DPO sin la acreditación.

En la actualidad, ya existen universidades y asociaciones que imparten cursos especializados en la figura del DPO, para fomentar su contratacion.

Expectativas laborales

A tenor de las estimaciones facilitadas por la Asociación Internacional de Profesionales de la Privacidad (IAPP), en los próximos años, los distintos Estados miembros de la Unión Europea necesitarán, en total, alrededor de 75.000 delegados de protección de datos. El Reglamento apuesta decididamente por la figura del DPO y esto puede verse también al analizar otros factores, como las severas multas que establece por el incumplimiento de las obligaciones derivadas de la protección de los datos.

La nueva normativa tendrá repercusiones también en el resto del mundo. Se calcula que solo en Estados Unidos se contratarán 10.000 puestos para DPO, en tanto en cuanto que China podría solicitar otros 7.500 profesionales de este sector y otros Estados no pertenecientes a la UE, como Suiza y Rusia, casi 3.000 delegados cada uno.

Aunque las condiciones salariales no han sido fijadas por el Reglamento ni por las orientaciones realizadas por el G29, lo cierto es que se tratará de una profesión altamente cualificada y, por tanto, esto deberá tener reflejo en la nómina (también para los empleados que ya trabajaban para la empresa y que, al ser designados como DPO, deberán desarrollar funciones críticas para la organización).

Related posts
DPO

Funciones del Delegado de Protección de Datos (DPO)

12 Mins read
Hoy queremos hablaros sobre la principal novedad que se ha producido con la aplicación del RGPD tras su entrada en vigor en…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.