Funciones y supuestos de nombramiento del Delegado de Protección de Datos (DPO) según el nuevo RGPD
El Reglamento General de Protección de Datos 2016/679 (RGPD), relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que será aplicable a partir del próximo 25 de mayo de 2018, establece en la Sección 4 del Capítulo IV una nueva medida organizativa de seguridad para los Responsables y Encargados de Tratamiento, denominada Delegado de Protección de Datos (DPO), cuya principal función consiste en el asesoramiento y supervisión del cumplimiento de la normativa de protección de datos Europea y Nacional respecto al tratamiento de datos personales realizado por el Responsable y Encargado de Tratamiento.
En particular, de acuerdo con el artículo 37 RGPD se establece que el Delegado de Protección de Datos (DPO) será designado siempre que suceda alguna de las siguientes situaciones de tratamiento por parte del Responsable o Encargado de Tratamiento:
• Cuando la actividad principal consista en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala.
• La actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
• El tratamiento lo realice una autoridad u organismo público, salvo tribunales.
Al respecto, el artículo 35 del Proyecto Español de Ley Orgánica de Protección de Datos de Carácter Personal, aprobado el pasado 10 de noviembre de 2017 por el Consejo de Ministros, a través del cual se adaptará en España el RGPD, establece 15 supuestos taxativos en los que se deberá de designar un Delegado de Protección de Datos (DPO), tomando en consideración dos factores: el primero, conforme lo indicado por el artículo 37 GDPR y el segundo, dependiendo del tipo de entidad que realiza el tratamiento de datos, las cuales se indican a continuación:
• Las entidades incluidas en el artículo 1 de la Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión.
• Los centros docentes y las universidades públicas y privadas.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
• Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios.
• Los distribuidores y comercializadores de energía eléctrica.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
• Los centros sanitarios.
• Las entidades dedicadas a emisión de informes comerciales.
• Los colegios profesionales y sus consejos generales.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
• Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
En España los anteriores 15 tipos de entidades deberán de designar formalmente a un Delegado de Protección de Datos para dar cumplimiento a dicha nueva medida organizativa de seguridad y proceder a su comunicación a la Agencia Española de Protección de Datos (AEPD).
En relación a las principales funciones de la nueva figura organizativa de seguridad de Delegado de Protección de Datos, conforme el artículo 39 GDPR, destacan las indicadas a continuación:
• Función de asesoramiento en la aplicación del Reglamento Europeo de Protección de Datos, Normativa Europea y Nacional en la materia.
• Función de supervisión del cumplimiento normativo de protección de datos, de las políticas y procedimientos internos, asignación de responsabilidades, concienciación, formación y auditorías de protección de datos.
• Función de punto de contacto y cooperación con la Agencia Española de Protección de Datos y Autoridades Autonómicas de Protección de Datos.
Por lo tanto, conforme todo lo expuesto anteriormente, se concluye la relevancia existente de la nueva figura de Delegado de Protección de Datos (DPO) en el nuevo marco normativo de protección de datos, lo cual implica para los Responsables y Encargados de Tratamiento proceder, en los casos que correspondan y a través de una asignación adecuada de recursos, a su nombramiento, asignación formal de funciones e incorporación como figura relevante dentro de la Organización, para garantizar un efectivo control, seguimiento y supervisión de las medidas técnicas y organizativas de seguridad en el tratamiento de datos personales, todo en defensa de los derechos de los interesados titulares de los datos.
Desde octubre de 2016, Juan Carlos es profesor asociado del Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información (MDTT) por la Universidad Carlos III de Madrid.
Dispone de una experiencia de más de 10 años en dirección, gestión, ejecución y desarrollo de negocio de servicios gestionados de consultoría, auditoría, oficinas técnicas/normativa y formación conforme estándares internacionales y buenas practicas sectoriales, en los ámbitos de Gestión de Riesgos, Control Interno, Corporate Compliance, Modelos de Prevención y Detección de Delitos y Sistemas de Gestión de Anticorrupción/Antisoborno, Gobierno TI, Sistemas de Gestión de Seguridad de la Información, Sistemas de Gestión de Continuidad de Negocio, Resiliencia, Privacidad, Protección de Datos y Cumplimento Normativo Nacional e Internacional, principalmente para clientes nacionales e internacionales del sector bancario, asegurador, automoción, transporte, industrial, hospitalario y HealthCare.
Juan Carlos es licenciado en Derecho y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información (MDTT) por la Universidad Carlos III de Madrid. En 2016 Juan Carlos aprobó el Postgrado Corporate Compliance impartido por la Facultad de Derecho de ESADE de la Universidad Ramon Llull.
