• Reino Unido
  • Alemaña
  • EEUU

¿Qué es un DPO y porqué es importante para las empresas?

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

La adaptación de una empresa a los requisitos que marca el nuevo RGPD puede ser un proceso lento y tedioso. Entre las novedades que el nuevo reglamento contempla, se ha introducido la obligación de nombrar una figura que está dando mucho que hablar estos días: el Delegado de Protección de Datos, o DPO. ¿Pero qué significa esto y porqué es importante conocerlo?

Un DPO es una persona, física o jurídica, encargada de garantizar el cumplimiento de la ley de protección de datos en la empresa. Puede ser interno o externo a la empresa, y debe contar con conocimientos especializados del Derecho y práctica en protección de datos, aunque no se le exige tener que estar certificado.

Entre las principales funciones del DPO se destaca:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. 
  2. Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. 
  3.  Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  4. Cooperar con la autoridad de control.
  5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. 

¿Todas las empresas deben tener DPO?

No necesariamente, será obligatorio la designación de un delegado de protección de datos cuando:

1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

4. Entre las entidades que deberían nombrar un delegado de protección de datos se encontrarían:

  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Aseguradoras y reaseguradoras.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas.
  • Universidades.
  • Colegios profesionales y sus consejos generales.
  • Entidades dedicadas al juego on line.

Hay que garantizar la autonomía del DPO

El DPO debe contar con la autonomía y los recursos suficientes para desarrollar su labor de forma efectiva. Por eso, es obligatorio que el responsable del tratamiento facilite al DPO todos los recursos necesarios para desarrollar su actividad de forma eficaz.

Esto define también cuál debe ser la posición del DPO dentro de la empresa. El reglamento marca que es importante que el delegado participe desde la etapa más temprana posible en todas las cuestiones relativas a la protección de datos. Además, es importante que el DPO sea considerado como un interlocutor dentro de la organización y que forme parte de los grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Importante: Los DPO no son personalmente responsables en caso de incumplimiento del RGPD

En efecto. El RGPD deja claro que quien está obligado a garantizar que el tratamiento se realiza de forma correcta es el encargado de tratamiento, no el delegado. El DPO no es responsable del cumplimiento de las normas sobre protección de datos, esa responsabilidad recae en el encargado de tratamiento. Si el responsable de cumplimiento toma decisiones que son incompatibles con el RGPD y el consejo del DPO, éste debe tener la posibilidad de expresar con facilidad sus discrepancias a sus superiores.

En definitiva, la figura del DPO es una de las principales incorporaciones del RGPD y es importante para garantizar el cumplimiento de la nueva normativa europea. 

 

¿Quieres saber más sobre el tema? Apúntate a nuestros próximos webinars gratuitos y descubre cómo aplicar el RGPD de forma ágil y rápida:

RGPD y DPO: novedades y obligaciones para tus clientes

También te puede interesar:

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter
Haz clic aquí

Artículo redactado por:

Pedro Simón

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Artículos relacionados

Linkedin Twitter