Propuesta Nuevo Reglamento LOPD – El DPO (Data Protection Officer)

En junio de 2014 se organizó una ponencia de trabajo en la que el Coordinador de Auditoria y Seguridad de la información en la Autoridad Catalana de Protección de Datos, expuso las novedades de la propuesta de Reglamento UE de Protección de Datos y anticipó los puntos que probablemente formarán parte de la nueva norma.

En este artículo se va a profundizar sobre uno de los principales puntos que serán susceptibles de aplicación para la mayoría de entidades, en el momento de la aprobación del reglamento de la Unión Europea de Protección de Datos.

El Reglamento será de aplicación directa a todos los Estados miembros. Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán aplicarlo, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

El objetivo del Reglamento es alcanzar un mayor nivel de protección de los datos de carácter personal, especialmente en el medio digital, alineando la gestión de la protección de datos con el resto de actividades ordinarias y cotidianas que conforman la estructura organizativa y las reglas de negocio de las empresas, a lo que se une la obligación de ofrecer una mayor transparencia respecto del tratamiento de datos que llevan a cabo, en base a informar más y mejor sobre las operaciones de tratamiento.

Este nuevo Reglamento está considerado por las instituciones europeas como uno de los pilares del mercado único digital europeo, que debería estar ultimado, al menos conceptualmente, en el 2015.

Aunque no será de cumplimiento obligatorio para todas las Organizaciones, unos de los mayores cambios es el de disponer de la figura del DPO. 

Se establece el perfil del DPO como un profesional conocedor de la materia (legislación y buenas prácticas) y capacitado para desarrollar todas las funciones que describe el Reglamento (ej. supervisión, información, asesoramiento, formación, comunicación al Comité de empresa sobre el tratamiento de datos de los empleados, auditorías, seguridad, etc.), aunque por el momento no se detalla la obligación de acreditar una formación determinada.

No obstante, muy probablemente se establecerán mecanismos de acreditación, ya sean a nivel europeo o local, respecto de la formación o capacitación requerida.

Entre las funciones que habrá de desarrollar las más destacadas serian:

• El DPO deberá ser el punto de enlace entre la Autoridad de Control y el responsable o encargado tratamiento, aunque la responsabilidad por el incumplimiento de la normativa recaerá siempre sobre la empresa.
• Ha de ser una persona física y su identidad y datos de contacto deberán ser comunicados a la Autoridad competente y al público en general. Podrá ser interno (el mandato mínimo será de 4 años) o externo (el mandato mínimo será de 2 años), En cualquier caso el DPO deberá contar con los recursos humanos y materiales necesarios para desarrollar sus funciones de forma adecuada.
• El cargo de DPO no reviste exclusividad por lo que el profesional podrá desarrollar otras funciones y competencias, siempre que le permitan garantizar los principios de independencia (no parece por tanto que esta función pueda ser asignada, por ejemplo, al Responsable de Seguridad) y deber de secreto que rigen su actividad. Se deberán considerar los aspectos legales pertinentes en el contrato al momento de externalizar esta función.
• Deberá estar presente en la toma de decisiones sobre los procesos que vayan a implicar el tratamiento de datos personales, y disponer de una interlocución directa con la Dirección Ejecutiva, si bien no es necesario que pertenezca a ella.

Se expone la figura del DPO por estar calificado como uno de los cambios más sustanciales de la normativa, pero no será de aplicación para todas las entidades que traten datos de carácter personal.

Los supuestos en que se determina la obligatoriedad del DPO son:

• Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.
• Tratamiento de categorías especiales de datos (ej. Hospitales).
• Tratamiento de datos de localización (ej. geolocalización).
•  Tratamiento que consista en la monitorización del interesado (ej. navegación).
• Tratamiento de datos de menores y empleados a gran escala.
• Administraciones Públicas.