La entrada en vigor del Reglamento General de Protección de Datos (RGPD) introdujo entre sus novedades la creación de la figura del Delegado de Protección de Datos o DPO (siglas de Data Protection Officer, denominación en inglés) como experto en materia de protección de datos de carácter personal que también se ha incluido en la regulación de la vigente Ley Orgánica de Protección de Datos de Carácter Personal o LOPD.
Qué es un DPO
Como su propio nombre indica, el Delegado de Protección de Datos de una entidad será la persona encargada de informar sobre las obligaciones legales que se apliquen a la misma como responsable del tratamiento de datos, de velar por el cumplimiento de estas y de actuar como interlocutora entre la entidad y la autoridad de control, esto es, la Agencia Española de Protección de Datos (AEPD).
Si bien siempre es conveniente contar con un experto en la materia, el RGPD establece qué únicamente estarán obligadas a designar un DPO, bien entre sus propios empleados o bien contratando a un profesional externo, aquellas empresas cuya actividad como responsable del tratamiento de datos personales consista en el tratamiento a gran escala de operaciones que requieran observación sistemática y frecuente de los datos de los interesados, manejen datos de categorías especiales (como datos relativos, entre otras, a la salud, política o religión) o cuyo tratamiento sea llevado a cabo por una autoridad pública.
Funciones principales de un DPO
Las principales funciones del Delegado de Protección de Datos son las siguientes:
- Asesorar e informar a la empresa, a través de su encargado o responsable del tratamiento de datos, en materia de protección de datos de carácter personal.
- Supervisar que el tratamiento de datos llevado a cabo por la empresa sea conforme a la normativa en vigor.
- Llevar a cabo auditorías en materia de protección de datos dirigidas a analizar y comprobar la adecuación y legalidad de las actividades de tratamiento que se lleven a cabo, realizar recomendaciones, asesorar sobre el análisis de riesgos y sobre la evaluación del impacto si es necesaria realizarla o no en función del análisis del riesgo.
- Cooperar con la AEPD y cursar las comunicaciones que sean oportunas.
Contratar un DPO vs. externalizar el servicio
Como hemos apuntado, existe la posibilidad de que las funciones del DPO se desarrollen por un empleado de la empresa o bien se externalice este servicio, presentando ambas opciones sus ventajas e inconvenientes.
Así, optarán por los servicios de un DPO interno aquellas empresas que quieran que esta persona tenga un profundo conocimiento de la estructura de la compañía y esté familiarizada con sus procedimientos internos y deseen ahorrar en costes al subsumirse dicho gasto como una nómina más. No obstante, al tratarse de una figura interna sobre la cual recaerá toda la responsabilidad ante la AEPD no se puede garantizar la objetividad en el ejercicio de sus funciones y pueden dar lugar a tensiones dentro de la compañía y conflictos de interés.
Por el contrario, un Delegado de Protección de Datos externo, además de garantizar total independencia en el ejercicio de sus funciones, contará con conocimientos cualificados, dada su formación especializada en materia de protección de datos; ofrecerá un mayor disponibilidad, que un empleado interno, al poner a disposición de sus clientes todos sus recursos materiales y humanos que cuenten con las competencias y experiencia exigibles por el RGPD, así como por la LOPDGG.
Además, la contratación de profesionales especializados en materia de protección de datos garantiza que la empresa contará con la información más actualizada y estará totalmente al día en la implantación de las medidas normativas que en cada momento le sean exigibles.
En definitiva, una empresa que se decida por la contratación de un DPO externo priorizará que este desarrolle sus funciones con el mayor grado de objetividad, seguridad y garantía. Si estás interesado en estos servicios, solicita aquí un presupuesto sin compromiso.
