Delegado de Protección de Datos

Actualmente, los datos son, probablemente, una de las herramientas más poderosas para cualquier empresa. En muchas ocasiones, la eficiencia, los resultados y la innovación empresarial dependen de la cantidad y la calidad de datos de los que dispongan. Por ello, cada vez es más habitual encontrar empresas que apuestan por el Big Data, el análisis de datos y la protección de datos. En este último punto, aparece una figura primordial: el delegado de protección de datos (DPO). ¿Te apetece conocer más sobre él? 

El delegado de protección de datos es un profesional indispensable para muchas organizaciones, tanto públicas como privadas, puesto que se ocupa de controlar, supervisar y asegurar que las empresas hagan un uso responsable y legal de los datos personales de los que disponen según la normativa en protección de datos vigente. 

En otras palabras, el DPO (por sus siglas en inglés) o DPD es el máximo responsable de que las empresas aseguren la protección de datos personales, como nombres, direcciones, datos bancarios, etc. Si quieres conocer más sobre las funciones del delegado de protección de datos e, incluso, cómo llegar a trabajar de ello, sigue leyendo. ¡Tenemos mucho que contarte! 

El delegado de protección de datos en el Reglamento RGPD 

Uno de los aspectos claves del trabajo de un DPO es el Reglamento RGPD. Este hace alusión al Reglamento General de Protección de Datos; una normativa de carácter europeo que, desde el año 2018, se ocupa de que las empresas realicen un mayor control y supervisión de los datos personales con los que cuentan fruto de su actividad económica.  

Un dato personal es toda información que identifica a una persona —física o jurídica, como un nombre, un DNI, una dirección, etc. Las empresas obtienen cada día cientos de datos nuevos de clientes o potenciales clientes y la gestión correcta y responsable de estos es de obligado cumplimiento. 

Además, el Reglamento RGPD también contempla la figura del delegado de protección de datos como un profesional imprescindible en numerosos sectores y detalla sus principales funciones. Entre ellas, encontramos prestar asistencia a la empresa en materia de protección de datos, participar en todas las cuestiones referentes a esto y supervisar el cumplimiento del RGPD. Asimismo, incluye las condiciones laborales y las funciones sobre las que el DPD es designado en una organización.  

Funciones del delegado de protección de datos 

Las funciones del delegado de protección de datos varían según la empresa en la que trabaje. Una multinacional no exigiría las mismas ocupaciones que una PYME. Sin embargo, existen algunas tareas transversales que podemos encontrar en el día a día de cualquier delegado de protección de datos. ¿Te las mostramos? 

• Supervisar el cumplimiento del reglamento RGPD. 

• Asesorar a la empresa en materia de protección de datos.  

• Asignar responsabilidades en materia de protección de datos a los ejecutivos de la organización. 

• Transmitir la política de protección de datos interna y externa a todos los equipos de la empresa.  

• Realizar auditorías internas y externas sobre el manejo de datos personales. 

• Formar al equipo humano de la organización para que todos comprendan la importancia de una correcta gestión de los datos personales.  

• Cooperar con las autoridades si es necesario.  

La figura del DPO en la empresa 

Como has podido comprobar con las funciones de un DPO, esta figura puede ser imprescindible para muchas organizaciones. Esto varía según algunos factores, como el sector o la sensibilidad de los datos a los que nos refiramos. Sin embargo, sin importar eso, actualmente cualquier organización posee datos personales que debe saber tratar y salvaguardar. Por ello, la figura del DPO en la empresa está, cada vez, más presente.  

Este profesional puede formar parte de la plantilla de la empresa; aunque lo más habitual, actualmente, es encontrarnos con consultores externos que realizan estas funciones para más de una organización. Esto, normalmente, varía según el tamaño de la empresa y según la cantidad y sensibilidad de los datos de los que dispone. 

En este sentido, la necesidad de designación de un delegado de protección de datos para la empresa puede depender de numerosos aspectos. Por un lado, existen tipos de empresas y organismos que deben designar un DPO de manera obligatoria según la normativa. Por ejemplo, las autoridades y organismos públicos, los colegios profesionales, los centros docentes, los centros sanitarios que gestionen historiales clínicos y las federaciones deportivas con datos de menores de edad, entre otras.  

¿Cuándo es necesaria la figura de un DPO en la empresa? 

La designación de un delegado de protección de datos de manera obligatoria, tal y como te hemos mostrado, suele estar relacionada con organismos y entidades públicos. Sin embargo, también existen casos en los que la figura de un DPO en la empresa es imprescindible. ¡Te mostramos más a continuación! 

La figura del DPO será obligatoria en empresas que realicen las siguientes actividades: 

• Actividades que requieren de un monitoreo de los datos de manera sistemática. Por ejemplo, la vigilancia a tiempo real de lugares a través de cámaras de seguridad. 

• Actividades que requieren de datos de categorías especiales, como datos relativos a condenas o penas. Asimismo, también en empresas que trabajen con datos sensibles, como datos sanitarios o clínicos, datos de origen racial, opiniones políticas, creencias religiosas, etc.  

• Las instituciones financieras suelen estar obligadas, asimismo, a incorporar a un DPO, puesto que trabajan con datos financieros y de comportamiento de sus clientes.  

• Las empresas de marketing digital y otros sectores que trabajen con redes sociales también están obligadas a disponer de un DPO. La razón básica es que pueden monitorizar la actividad de sus clientes y de las comunidades de seguidores de sus clientes, a través de lo que conocen gustos, comportamientos, etc.   

Además de estas, podemos encontrar otras organizaciones con obligatoriedad de incorporar un DPO, como las empresas de seguridad privada, las que desarrollen actividades de juego a través de canales electrónicos o las que comercializan y/o distribuyen energía eléctrica y gas natural. Todo ello está contemplado en el Reglamento RGPD. 

¿Quién puede ser delegado de protección de datos? 

Ya conoces las principales funcione de un DPD, pero probablemente te estés preguntando quién puede ser delegado de protección de datos y qué requisitos debe cumplir para llegar a serlo, ¿verdad? 

Pues bien, podrá ejercer como delegado de protección de datos aquel profesional que tenga los conocimientos suficientes en Derecho y, de manera específica, en materia de protección de datos. Además de los juristas, otro perfil muy solicitado es el del ingeniero de sistemas, que también puede convertirse en DPD si se especializa. 

Además, en los últimos años, la Agencia Española de Protección de Datos ha promovido la instauración de la certificación DPD, que se ocupa de “certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión”. Así, la Agencia asegura en su página web que “las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC”. 

¿Qué requisitos debe cumplir para ser nombrado DPO en una empresa? 

En línea con el punto anterior, otra duda frecuente es la de qué requisitos debe cumplir un profesional para ser nombrado DPO en una empresa. Pues bien, el requisito más importante es la formación especializada. Normalmente, todos los DPD son graduados o licenciados en Derecho, pero, además, cuentan con la especialización en protección de datos.  

Asimismo, otros perfiles que pueden ejercer estas funciones son los ingenieros/as de sistemas o los expertos/as en Tecnologías de la Información y la Comunicación (TIC). 

Además de la formación especializada, otros requisitos del DPD son haber obtenido la certificación de DPO, que avala los conocimientos y aptitudes necesarios. Aunque este requisito no es obligatorio, cada vez son más las empresas que demandan profesionales que lo hayan obtenido para estar seguros de que sus conocimientos y aptitudes son válidos.  

¿Quién debe nombrar al DPO? 

Normalmente, es la propia empresa quien nombra al DPO cuando ha comprobado que cumple con la formación adecuada para ejercer estas funciones. Como hemos adelantado, designar un DPD dentro de la empresa es solo una de las opciones que existen, puesto que también se puede externalizar a través de los consultores de protección de datos. 

¿Qué certificación se necesita para ejercer como DPO? 

Como hemos adelantado, no existe, de manera obligatoria, una certificación para ejercer como DPO. Normalmente, basta con poder demostrar los conocimientos y aptitudes necesarios para ejercer tus funciones. Sin embargo, cada vez son más las empresas que están exigiendo DPO con certificaciones oficiales, como la Certificación del Esquema de Certificación de delegados de protección de datos de la AEPD.  

Si te preguntas qué conocimientos jurídicos tiene un DPO, la mayoría pueden demostrar un conocimiento profundo del Reglamento RGPD, la principal legislación en esta materia. Asimismo, conocer todo lo referente a protección de datos, tanto a nivel nacional como internacional, es primordial para hacerte hueco en este sector. 

Por último, otra de las dudas frecuentes es qué experiencia práctica en protección de datos debe tener un DPD. Pues bien, todo dependerá de las exigencias particulares de cada empresa. En algunos casos, se demandan profesionales muy experimentados, que puedan demostrar experiencia laboral práctica de al menos 5 años. Sin embargo, en otras organizaciones, basta con disponer de los conocimientos teóricos necesarios.  

¿Tiene una responsabilidad personal el DPO? 

El DPO no tiene responsabilidad personal directa en caso de incumplimiento de la normativa en materia de datos personales dentro de la empresa para la que trabaja. La propia Agencia Española de Protección de Datos señala lo siguiente: “Los delegados de protección de datos (DPD) no son personalmente responsables en caso de incumplimiento del RGPD”. Asimismo, añaden que “el RGPD deja claro que es el responsable o el encargado del tratamiento quien tiene que garantizar y demostrar que el tratamiento se realiza conforme a sus disposiciones (artículo 24, apartado 1)”.  

Por todo ello, aunque el DPD no sea personalmente responsable, si es consciente de que existe “una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento”. 

Así, los directivos de una empresa sí pueden tener una responsabilidad personal si se da un incumplimiento en el tratamiento o salvaguarda de los datos personales. 

¿Cómo dar de alta un delegado de protección de datos? 

Para dar de alta a un delegado de protección de datos dentro de la empresa, la organización sí tiene un procedimiento que cumplir. En concreto, debe: 

• Comunicarlo a la autoridad de control en un plazo máximo de 10 días.  

• Publicitar su existencia a través de medios electrónicos.  

Asimismo, la Agencia Española de Protección de Datos dispone de un formulario de comunicación de persona delegada de protección de datos en su sede electrónica.  

Si te interesa este sector y estás pensando en formarte y especializarte para dedicarte a ello, esta es tu oportunidad. En INEAF, puedes conocer nuestro Curso en delegado de protección de datos. Data protection officer (DPO), con titulación universitaria + 8 créditos ECTS. ¡Es hora de prepararte para obtener tu certificación DPD! Si quieres hacerlo desde casa, sin horarios y siendo dueño de tu ritmo de aprendizaje, INEAF te espera. ¿Hablamos?