03 Ene Data Protection Officer en el RGPD
Nombramiento voluntario: para todos los responsables y encargados de tratamiento.
Nombramiento obligatorio:
- Organizaciones e instituciones públicas y entidades con más de 250 trabajadores.
- Entidades con menos de 250 trabajadores, siempre que sea necesario un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.
El nuevo Reglamento que modifica la Directiva 95/46 de Protección de Datos de Carácter Personal, enuncia entre las funciones de esta nueva figura las que se indican a continuación:
- Informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones
- Controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorías periódicas
- Controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derecho.
- Asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales.
- Controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa.
- Actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propias.
No existía en la legislación anterior una figura análoga, si bien es cierto que se podía, y en algún caso se debía, nombrar un responsable de seguridad, quien tiene la función de coordinar y controlar las medidas de seguridad aplicables; Entre otras mantener actualizada las lista de usuarios del Documento de Seguridad, revisar periódicamente la información del registro de accesos de los sistemas que tratan datos que requieran medidas de seguridad de nivel alto, etc.
El DPO, promoviendo el cumplimiento de la normativa de protección de datos personales, se convierte en pilar fundamental para garantizar y proteger la privacidad y seguridad de los datos responsabilidad de la empresa, por ello su nombramiento debe ser estudiado y meditado.
La persona designada para dicho cargo, debe poseer una adecuada cualificación, recursos y competencias suficientes para ejercer sus funciones de supervisión. Pero además, debe de contar con plena independencia, no debiendo recibir instrucciones ni del responsable del fichero o tratamiento, ni de cualquier tercero para que no intervengan en el buen desarrollo de sus funciones.
El DPO tiene que tener, sin duda, competencia jurídica, pero no es la única, ya que no podrá ser ajeno a los procesos técnicos sobre los que deberá aplicar las obligaciones contenidas en la legislación europea.