Desde el pasado 25 de mayo, muchas empresas y administraciones públicas deben contar obligatoriamente, por ley, con un Delegado de Protección de Datos
En mayo entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una normativa europea de obligado cumplimiento en los 28 países de la UE cuyo objetivo es proporcionar a los ciudadanos una respuesta legal al tratamiento que las empresas y administraciones públicas hacen de sus datos personales. Esta ley contiene una serie de requisitos y obligaciones, sanciones incluidas, que afectan a un buen número de corporaciones y negocios. Asimismo, incorpora la figura del Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO, por sus siglas en inglés).
¿Qué es un DPD?
Es una nueva figura profesional, especialista en derecho de protección de datos, cuya principal labor es garantizar que se cumple la normativa europea en este ámbito. El Delegado de Protección de Datos se ha convertido en uno de los perfiles laborales más demandados. En 2018 se estima que se necesitarán alrededor de 75.000 DPD en toda Europa.
¿En qué consiste su trabajo?
Debe informar, supervisar, divulgar y coordinar la política de protección de datos en la empresa o administración en la que preste sus servicios. Además, debe velar por el cumplimiento de la normativa española y europea sobre el tratamiento de datos personales y asesorar sobre los riesgos que puede comportar un determinado servicio que ofrezca la compañía, lo que se denomina Evaluación de Impacto en la Protección de Datos Personales (EIPD). También debe cooperar con las autoridades de control en el caso de que se detecten irregularidades en el tratamiento de los datos.
¿Qué empresas están obligadas a tener un DPD?
Su presencia es obligatoria en las administraciones públicas (excepto los tribunales de justicia), y en cualquier empresa y entidad privada que trate con frecuencia y de manera sistemática datos de carácter personal (empleados, clientes, proveedores…), con independencia de su tamaño o del volumen de datos que maneje.
También deben contar con un Delegado de Protección de Datos aquellas compañías que manejen datos de personas a gran escala sobre temas especialmente sensibles (ideología, salud, cuestiones penales…).
¿Y qué pasa con las pymes?, ¿deben contratar a un DPD?
La ley especifica que las empresas (por norma general, pymes) y otras entidades cuya actividad principal no consista en el tratamiento masivo de datos personales no están obligadas a contar con un DPD. En cualquier caso, los expertos sí creen que es conveniente que estos negocios cuenten con una especie de DPD sectorial.
¿Debe formar el DPD parte de la plantilla?
No necesariamente. puede estar integrado en la plantilla o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. En todo caso, la empresa debe garantizar siempre su independencia: no puede recibir instrucciones, ni puede ser destituido ni sancionado por lo que respecta al desarrollo de su trabajo.
Si mi empresa está fuera de la UE, ¿me afecta esta norma?
Depende. Si la empresa maneja datos de ciudadanos de la UE deberá someterse al Reglamento General de Protección de Datos, aunque tenga su sede fuera del territorio europeo.
¿Debe la empresa registrar los ficheros de datos ante la Agencia Española de Protección de Datos (AEPD)?
Ahora ya no será necesario, pero lo que sí debe tener la empresa es un Registro de Actividades de Tratamiento. O lo que es lo mismo, documentar qué persona es la responsable de esos datos e inventariarlos.
Si la empresa cuenta con más de 250 trabajadores o trata datos de especial sensibilidad (salud, penales, ideología…), este registro es obligatorio. Si la empresa es más pequeña no hay obligatoriedad, pero sí es recomendable. La AEPD puede solicitar acceder a este registro si lo considera oportuno, por lo que siempre debe estar actualizado.
¿Qué pasa si mi empresa no cuenta todavía con un DPD?
Si la empresa o administración está obligada a tener un Delegado de Protección de Datos y no lo ha incorporado se enfrenta a una multa. El nuevo reglamento incluye importantes sanciones por incumplimiento que pueden alcanzar hasta los 20 millones de euros o hasta el 4% de la facturación anual de las grandes empresas que desobedezcan la norma.
¿Los clientes y el resto de ciudadanos pueden contactar con un DPD si es necesario?
Por supuesto. Todos los interesados o afectados por el tratamiento de sus datos personales pueden dirigirse al Delegado de Protección de Datos, incluidas posibles reclamaciones e indemnizaciones.
Entonces, ¿qué perfil requiere esta nueva figura profesional?
El DPD debe reunir conocimientos especializados en Derecho y tener cierta práctica en materia de protección de datos. Además, es bueno que conozca bien el negocio en el que va a prestar sus servicios; que tenga dotes de mediador o relaciones públicas para poder proponer soluciones satisfactorias entre las dos partes (clientes-empresa, administración pública-administrados) y que entienda aspectos técnicos de cuestiones tecnológicas.
¿Para poder ejercer como Delegado de Protección de Datos certificado es necesario superar algún examen?
Sí, uno de los requisitos es superar una prueba. Para presentarse a ella es necesario justificar una formación mínima reconocida de 180 horas en aquellos contenidos recogidos en el Esquema de Certificación de DPD, que promueve la Agencia Española de Protección de Datos (AEPD).
Nuestra directora Carmen Trujillo Aznar está certificada como DPD por AENOR.
Ver fuente de la noticia aquí.