Como hemos tratado de explicar en publicaciones anteriores, el nuevo Reglamento General de Protección de Datos, cuyo contenido se ha trasladado a la reciente LOPDGDD, es mucho más severo a la hora de proteger los datos personales de los usuarios, obligando a las empresas a aportar una mayor supervisión de la privacidad de los datos que trate.
Y la propia normativa ha creado una figura interna en toda organización para asegurar que los datos tratados tienen la protección exigida. Esa figura es el Delegado de Protección de Datos (a partir de ahora, DPO), de quien hemos hablado ampliamente en artículos anteriores, definiendo su rol y sus funciones.
Pero dicho lo anterior y contestando a la pregunta que debes estar haciéndote,
¿es necesario que todas las empresas, independientemente de su tamaño, contraten a un DPO?
No todas las empresas están obligadas a contratar a un DPO. No obstante, sí se prevén unos casos de obligado cumplimiento que son los siguientes:
• En los supuestos de observación habitual y sistemática de los interesados; es decir, cuando se realiza un seguimiento periódico y repetitivo de personas a través de un método de clasificación, organización u ordenación de sus datos personales. Ejemplos: aseguradoras, entidades bancarias, empresas dedicadas a elaboración de perfiles (mercadotecnia), empresas de vigilancia que traten datos personales como encargados de tratamiento, medios de comunicación, entre otros.
• En los casos de administraciones públicas, a excepción de los tribunales de justicia, quienes actúan en virtud de su función judicial.
• En línea con el punto anterior, en los casos en los que se trate con datos relativos a infracciones penales o medidas de seguridad, llevadas a cabo bajo la supervisión de autoridades públicas. Ejemplo: gabinetes jurídicos.
• En los supuestos de categorías especiales de datos; esto es, datos que versen sobre el origen étnico o racial, religión, opinión política, afiliación sindical, salud u orientación sexual de las personas. Ejemplos: iglesias, sindicatos, partidos políticos, hospitales, entre otros.
En el caso que se esté obligado a contratar a un DPO, éste puede ser una persona física o jurídica sin titulación específica, aunque sí se requerirá que tenga conocimientos en derecho y experiencia en materia de protección de datos. De ahí que la Agencia Española de Protección de Datos (AEPD) esté promoviendo un sistema de certificación de profesionales de protección de datos. Esto no quiere decir que el DPO que elijamos en nuestra organización deba haber superado el certificado creado por la AEPD, pero sí lo consideramos útil para verificar que la persona que ocupe el puesto cumple con todos los requisitos que fija la normativa vigente.
¿Y cómo elegir al mejor candidato a DPO?
Lo primero que deberemos saber es si optamos por una persona dentro de nuestra organización, o bien contratamos a un externo para que asuma tales funciones. Si estás valorando este segundo escenario, informarte que tenemos un equipo de juristas altamente cualificados que pueden cumplir a la perfección con el rol de DPO en tu empresa. Independientemente de la opción que adoptes, los pasos que deberás seguir serán los siguientes:
– Decidir la relación contractual entre empresa y DPO: relación laboral o contrato de prestación de servicios. El DPO no debe necesariamente formar parte de la plantilla. Como decíamos, también puedes contratar los servicios de DPO a una empresa externa y desde Asesoría LOPD podemos ayudarte con ello. De hecho, contratar los servicios externos de DPO tiene algunas ventajas, tales como:
• Ahorro en los costes laborales por tener un empleado dado de alta en la seguridad social.
• Las empresas externas especialistas en protección de datos disponen del know how en la materia y trabajan con procedimientos sistematizados que permiten ofrecer un servicio de calidad a bajo coste.
• Se evita riesgos de fuga de información dentro de la propia organización.
• Se evitan conflictos de intereses. Imaginemos que se designa como DPO al responsable de negocio o al responsable de tecnología, quienes deciden sobre determinados tratamientos de datos. Sus funciones internas entran en conflicto con las propias de un DPO.
– Hacer público el nombramiento del DPO y los datos de contacto de éste, debiendo trasladarlos a las autoridades de supervisión competentes (AEPD).
Como habrás podido leer, no todas las empresas están obligadas a tener a un DPO, pero sí de preservar la seguridad y la protección de los datos personales que tratan.
En el caso que sí estés obligado a contratar un DPO, te recomendamos contratar los servicios profesionales de un especialista, dadas las ventajas que obtendrías con esta contratación frente a una relación laboral propiamente.
Si necesitas más información al respecto, contacta con nuestros asesores en LOPDGDD a través de los comentarios de este artículo o a través de nuestro formulario de contacto.