Análisis

Exposición didáctica de ideas, conjeturas o hipótesis, a partir de unos hechos de actualidad comprobados —no necesariamente del día— que se reflejan en el propio texto. Excluye los juicios de valor y se aproxima más al género de opinión, pero se diferencia de él en que no juzga ni pronostica, sino que sólo formula hipótesis, ofrece explicaciones argumentadas y pone en relación datos dispersos

¿Qué narices es un “delegado de Protección de Datos”? 7 preguntas clave

Empresas y administraciones públicas deben tener esta figura regulada

Borja Adsuara Varela

25 abr 2016 - 12:35CEST

El pasado 14 de abril el Parlamento Europeo aprobó el nuevo Reglamento europeo de Protección de Datos, que, por un lado, deroga la antigua Directiva (de 1995) y, por otro, armoniza la legislación en esta materia en todos los países de la UE. Al no ser una Directiva, sino un Reglamento, es de aplicación directa en toda la Unión Europea y no necesita de una Ley nacional de trasposición o incorporación a los distintos ordenamientos jurídicos de los Estados miembros.

El nuevo Reglamento “entrará en vigor” a los veinte días de su próxima publicación en el Diario Oficial de la Unión Europea, pero “será aplicable” a los dos años de dicha fecha. En este periodo transitorio tanto las legislaciones nacionales, como las empresas, administraciones y las propias autoridades de protección de datos deben adaptarse a las obligaciones previstas en el nuevo marco regulatorio.

Una de las grandes novedades del Reglamento europeo de Protección de Datos es la figura del “Delegado de Protección de Datos” (artículos 37 a 39). Explicamos brevemente en qué consiste:

1. ¿Qué es un Delegado de Protección de Datos?

El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.

2. ¿Qué hace un Delegado de Protección de Datos?

El Delegado de Protección de Datos tiene, como mínimo, las siguientes funciones:

Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
Cooperar con las “autoridades de control” (Agencias de Protección de Datos)
Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

3. ¿Es una especie de “Defensor” del Ciudadano o del Cliente?

Los titulares, afectados o interesados pueden dirigirse al Delegado de Protección de Datos para todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones.

4. ¿Quiénes “deben” tener un Delegado de Protección de Datos?

Están obligados a nombrar un Delegado de Protección de Datos:

Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

5. ¿Quiénes “pueden” tener un Delegado de Protección de Datos?

No están obligados a tener delegado de Protección de Datos, pero es conveniente:

Empresas (normalmente, PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

6. ¿Cuándo se puede nombrar un Delegado de Protección de Datos único?

Las Administraciones Públicas podrán nombrar un Delegado de Protección de Datos único para varias autoridades y organismos, teniendo en cuenta su estructura organizativa y tamaño.
Los grupos empresariales podrá nombrar un Delegado de Protección de Datos único para todas las empresas del grupo, siempre que sea fácilmente accesible desde cada establecimiento.
Las asociaciones y otros organismos que representen a empresas y entidades podrán designar un Delegado de Protección de Datos único, que podrá actuar por cuenta de sus asociados y representados.

7. ¿Tiene que formar parte de la plantilla?

El Delegado de Protección de Datos puede formar parte de la plantilla de una Administración Pública, una Empresa o una Entidad privada, o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. En todo caso, debe garantizarse su independencia: no puede recibir instrucciones, ni puede ser destituido ni sancionado por lo que respecta al desempeño de sus funciones.

Borja Adsuara Varela es profesor y abogado. Es experto en Derecho y Estrategia Digital.