No podrá ser despedido ni recibir instrucciones de la empresa o Administración.
Las Administraciones Públicas -excluyendo juzgados y tribunales-, así como las empresas, organizaciones y entidades que lleven a cabo un tratamiento de datos "a gran escala", tendrán la obligación de designar un delegado de protección de datos o DPO (del inglés, data protection officer).
Las Administraciones Públicas -excluyendo juzgados y tribunales-, así como las empresas, organizaciones y entidades que lleven a cabo un tratamiento de datos "a gran escala", tendrán la obligación de designar un delegado de protección de datos o DPO (del inglés, data protection officer).
Así lo prevé el artículo 35 de la Propuesta de Reglamento del Parlamento Europeo y del Consejo, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos -o Reglamento General de Protección de Datos-, que se encuentra en fase de primera lectura.
En lo referido al sector privado, el citado artículo asevera que el DPO será necesario, en todo caso, para las empresas u organizaciones dedicadas al tratamiento de datos que por su "naturaleza, alcance o efectos requieran un seguimiento regular y sistemático" de datos "a gran escala". También para el tratamiento de las categorías especiales de datos, y aquellos relativos a delitos y condenas.
El Reglamento, al que ha tenido acceso la ONG State Watch, alcanzará, según Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP), "a tratamientos de datos masivos, que afecten a centenares de miles o millones de usuarios y que se mantienen periódicamente actualizados" como el profiling -elaboración de perfiles- o el marketing .
Eso sí, aún debe delimitarse el alcance del concepto -indedeterminado- de tratamiento de datos a gran escala. "Lo que aún no sabemos es si afectará a tratamientos más específicos como la solvencia patrimonial o el crédito, en donde la trascendencia para el ciudadano justificaría el asesoramiento de un experto", asegura Martínez.
Competencias acreditadas
El apartado 5 del artículo 35 de la norma determina que el DPO debe ser nombrado en base a sus "cualidades profesionales y, en particular, su conocimiento" en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. "Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados y específicos; es decir másters o modelos formativos, como la de la APEP, ordenados para conceder esa acreditación", afirma Martínez.
La norma confiere al DPO unas competencias mucho más amplias que las atribuidas al responsable de seguridad, figura regulada en el Reglamento que desarrolla la Ley Orgánica de Protección de Datos española, y que está encargado únicamente de "coordinar y controlar las medidas de seguridad" sobre la materia.
Las funciones del DPO, tal y como aparece en el proyecto de regulación europeo, tendrán una doble vertiente interna y externa. Por una parte, deberá informar y asesorar a la entidad y a sus empleados de sus obligaciones con respecto a la normativa de protección de datos, así como elaborar los protocolos de asignación de responsabilidades y formación en esta materia, y velar por su cumplimiento.
Por otro lado, será el encargado de responder a las solicitudes de información de la autoridad de control -la Agencia Española de Protección de Datos (AEPD)- y cooperar con ella para cualquier otro requerimiento.
La entidad o Administración responsable de la protección de datos, deberá publicar los datos de contacto del DPO, así como comunicárselo a la autoridad de control.
Posición reforzada
La norma otorga al DPO una protección reforzada en el seno de la empresa o institución. Así, el proyecto de Reglamento determina que no podrá ser despedido o sancionado en el ejercicio de sus tareas (artículo 36.3).
Además, mientras dure su encargo o esté al frente de dichas funciones, sólo podrá ser apartado -además de por las causas graves que determine la ley del Estado miembro para cualquier trabajador-, cuando ya no cumpla las condiciones necesarias para desempeñar las atribuciones fijadas por la normativa (artículo 35.7).
El Reglamento también afirma que la empresa o institución para la que trabaje, debe asegurar que el DPO no recibe instrucciones sobre el ejercicio de sus tareas. Asimismo, tiene la obligación de informar directamente al nivel más alto de gestión del organismo para el que preste sus servicios.
En el desempeño de sus funciones, está obligado por un deber de secreto o de confidencialidad. Y, aunque puede, dentro del organigrama de trabajo, tener asignadas otras funciones o tareas, éstas no pueden dar lugar a un conflicto de intereses.
De plantilla o por servicio
El Reglamento no exige que el DPO tenga que ser miembro de la plantilla de la empresa o Administración que requiera de dichos servicios. Así, "puede ser miembro del personal del controlador o procesador de los datos o cumplir con las tareas sobre la base de un contrato de servicios".
Además, la norma habilita a los grupos de empresas a nombrar un sólo DPO. También a que un único profesional preste servicio para distintas Administraciones u organismos públicos.
Fuente: ELECONOMISTA.ES
Enlace: http://www.eleconomista.es/legislacion/noticias/7235879/12/15/El-delegado-de-proteccion-de-datos-sera-una-figura-obligatoria-en-la-UE.html
Autor: PEDRO DEL ROSAL 21/12/2015