Con el nuevo reglamento de Protección de datos europeo (RGPD) nace una figura que tendrá una enorme relevancia en la gestión de la protección de datos de las empresas: el delegado de protección de datos, que conoceremos como DPD.
Es importante recordar que el rol del delegado de protección de datos no se encuentra recogido en la actual normativa de protección de datos española, si bien es una figura ampliamente desarrollada en otros estados miembros. Esta figura se plantea como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos.
A pesar de que en los inicios la Agencia Española de Protección de Datos consideraba que no era oportuno establecer un sistema de certificación de Delegados de Protección de Datos, finalmente ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD, y acreditar así que reúnen las cualificaciones profesionales y los conocimientos requeridos.
Aquí la polémica está servida si tenemos en cuenta que en el mundo de la protección de datos, cualquiera se hacía llamar consultor, lo que eso dio origen a una especie de “mercadillo LOPD” en donde las implantaciones se vendían muchas veces a precio de chupito o canjeadas por créditos asignados a la formación tripartita en claro fraude a la administración.
Creo que todos estaremos de acuerdo en que hacía falta una regulación legal en el mundo de la LOPD que permitiera a las empresas contar con profesionales debidamente cualificados, y que estos a su vez no tuvieran que competir con precios de risa derivados de la falta de regulación legal de la profesión. Lo que no tengo muy claro es si esa acreditación debe ser otorgada o no por entidades certificadoras, tal como propone la agencia:
“Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados”
De momento, dicha certificación no parece ser un requisito indispensable para el acceso a la profesión, sino que será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD.
Vamos, no es que sea imprescindible desde el punto de vista legal, pero sí de cara a competitividad y el futuro profesional de cualquier consultor que quiera ganarse la vida con la protección de datos.
Sin duda compañeros, estamos ante en nacimiento de otro negocio en auge: Las certificaciones DPD.
¿Quién necesita un delegado de protección de datos?
La presencia del delegado de producción de datos o DPO solo será obligatoria en determinados casos y para ciertos tipos de datos personales.
¿Cómo se elige a un delegado de protección de datos?
El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos y su capacidad para el desempeño de sus funciones.
Se permite que el Delegado de protección de datos mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.
No es necesario que cada empresa o entidad tenga un delegado de forma exclusiva ya que se permite nombrar un solo DPD para un grupo empresarial siempre que sea accesible desde cada establecimiento del grupo.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
Otro requisito a tener en cuenta en la elección del DPD es la total autonomía en el ejercicio de sus funciones, así como la necesidad de que se relacione con el nivel superior de la dirección y que le faciliten todos los recursos necesarios para desempeñar su labor.
Funciones de un delegado de protección de datos
El Delegado de Protección de Datos se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Los delegados de protección de datos (DPD) tendrán una labor manifiestamente proactiva, ya que su principal misión será implantar las medidas protectoras y de evaluación de impacto en el seno de las entidades responsables.
También deberán encargarse de permitir a los interesados el ejercicio de sus derechos frente al responsable al que representan.
Nota final personal: ¿estarán maduras las organizaciones para incorporar esta figura?
La entrada ¿Se acabó el todo vale en la protección de datos? aparece primero en Security Art Work.