Quiero ser delegado de Protección de Datos

A vertiginosa velocidad se van sucediendo trabajos que se quedan obsoletos, a otros que van surgiendo. En este último extremo nace el Delegado de Protección de Datos. Con la entrada en vigor en toda Europa del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, todas las Administraciones y muchas empresas tendrán que contar con un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer).

Se da la circunstancia de que el Reglamento sólo exige una acreditada experiencia, y no precisa de ningún título universitario, ni cualificación específica. Ciertamente resulta lógico tener unos conocimientos mínimos. La AEPD está impulsando junto con la Entidad Nacional de Acreditación (ENAC), un modelo de certificación como Delegado de Protección de Datos. Ello, según la propia Agencia “con la finalidad de generar confianza en los ciudadanos”. Varios centros de formación se han lanzado a dar cursos de formación de DPO, lo que podemos averiguar si hacemos una búsqueda en Google. De seguir la tendencia de la normativa anterior, esto no tendrá validez alguna. Podemos equiparar a lo que pasa actualmente con los Auditores, que, a pesar de los esfuerzos de entidades certificadoras, no es preciso poseer título alguno para hacer una Auditoría.

No debe extrañarnos esta irrupción de los centros de formación o la propia Agencia. Y es que a los miles de puestos existentes en el ámbito privado, se suma, según la Asociación Española de Privacidad el hecho de que si todas las Administraciones Públicas decidieran contar con su propio DPO, el número de profesionales necesarios sería 20.000. “Pero seguro que muchas optan por compartir las funciones”, explica Carme Sánchez Ors, vicepresidenta de la asociación.

De los requisitos para acceder a la certificación oficial como DPO que ha publicado la Agencia de Protección de Datos y que, para poder obtener el título y la marca oficial, han de acreditar experiencia contrastada en la materia, de entre tres y cinco años.

Primero vamos a centrarnos en cuáles han de ser sus funciones reales y si nos encontramos ante un miembro del consejo asesor de la empresa o en realidad nos encontramos ante un fiscalizador al servicio de la Administración, todo ello envuelto en la recurrente idea de que hay que velar por la tutela de los derechos y libertades de los titulares de los datos personales, que no nos olvidemos, es un derecho fundamental de las personas, aunque algunos pensemos que se ha convertido en un bien patrimonial altamente apreciado por el mercado y lo que se pretende proteger no son tanto esos derechos y libertades sino los intereses económicos resultantes del concepto “dato “personal”.

Funciones

El Articulo 39 del GDPR (Reglamento Europeo de Protección de Datos) nos indica que sus funciones serán:

  • Informar y asesorar a la empresa y a sus empleadosde las obligaciones impuestas por el Reglamento y de cualquier otra normativa aplicable al tratamiento de datos personales
  • Supervisar el cumplimiento de las normas establecidas por el Reglamento y de cualquier otra normativa de aplicación, así como supervisar las políticas de la empresa al respecto. Para tal fin, podrá asignar responsabilidades, realizar formaciones y campañas de concienciación, así como realizar las auditorías correspondientes para verificar el cumplimiento.
  • Asesorar a la empresasobre la redacción de las evaluaciones de impacto y supervisar su aplicación y, por tanto, evaluar sobre el análisis de riesgo efectuado en dicho PIA (Privacy Assests Impact, por sus siglas en inglés, que será el idioma en el que todos nos moveremos en esta materia)
  • Cooperar con las autoridades de control(en su más amplio sentido, luego veremos qué sucede si no se coopera… en su más amplio sentido).
  • Actuar como punto de contacto con la autoridad de control para cualquier cuestión relacionada con los tratamientos, especialmente en lo que respecta a las consultas previas derivadas del art. 36, que son las que ha de realizar el DPO a la Autoridad de control si cree que un tratamiento y sus medidas de seguridad pueden causar algún daño a los derechos y las libertades de los titulares de los datos. En el proyecto de Ley Orgánica español, el DPO actuará como “interlocutor” del responsable ante la Agencia de Protección de Datos, será la voz autorizada de la empresa, y por ende la cadena de transmisión de las instrucciones de la Agencia en materia de protección de datos.

A todas estas obligaciones genéricas, el actual esquema del DPO publicado por la Agencia Española de Protección de Datos añade:

  1. Recabar información para determinar los tratamientos de datos personales
  2. Analizar y comprobar que estos tratamientos están ajustados a Derecho
  3. Informar, asesorar y emitir recomendaciones a la empresa
  4. Supervisar (que no efectuar) el registro de actividades de tratamiento
  5. Asesorar sobre la aplicación de los principios de Privacy By desing o by default
  6. Asesorar sobre si debe o no realizarse un PIA (Evaluación de Impacto), la metodología, quién debe realizarlo, qué medidas de seguridad deben aplicarse y si se ha realizado correctamente el análisis de riesgos dentro del PIA y si el resultado de la evaluación de impacto es acorde con el Reglamento Europeo.
  7. Centrar su actividad en los tratamientos que representen mayor peligro para los derechos y libertades.

Jesús Medina Jaranay

Share:

Escrito por

El autor no ha dado información en su perfil

Deja un comentario