Quedan apenas 5 meses para la entrada en pleno vigor del Reglamento Europeo de Protección de Datos y la mayoría de las empresas siguen sin saber si tienen que adaptarse o no y, en el mejor de los casos, que implicaciones tendrá para ellos dicha adaptación.

Uno de los casos que mas controversia genera en la actualidad es la figura del Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en Inglés) pues, como ya viene siendo costumbre, la ambigüedad del legislador deja al arbitrio de los inspectores su posterior exigencia (o no…).

Empecemos por el principio…. que es un Delegado de Protección de Datos? Según el Reglamento, en su punto introductorio 97, es «una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos». La definición es «de traca», tan ambigua e ineficiente como la gran mayoría del contenido del propio reglamento, pero al menos aclara en el mismo numeral que «El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente». Así púes, una vez mas, toda la responsabilidad de los Datos personales tratados por una organización sigue recayendo en el responsable del fichero, esto es, la propia empresa.

Por tanto, quedan claras 2 cuestiones que incluso la propia Agencia Española de Protección de Datos ya ha clarificado, a saber:

• El RGPD no exige que el Delegado de Protección de Datos deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
• El Delegado de Protección de Datos podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Esto nos lleva a centrarnos entonces en que, sea interno o externo, el Delegado de Protección de Datos pueda demostrar de un lado su competencia profesional y que, de otro, pueda cumplir de manera efectiva y continua con las funciones que el propio Reglamento le asigna y que son:

• a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por último, establece el Reglamento que el delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Pero cuando debe entonces mi empresa designar y/o contratar a un Delegado de Protección de Datos?  El artículo 37 del Reglamento establece que será obligatoria en los siguientes casos:

1. Si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
2. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala (esto es, para grandes organizaciones)
3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento (esto es, aun cuando no siendo una gran organización, trate de forma habitual datos sensibles como, por ejemplo, las actividades sanitaras o educativas).

A este respecto, cabe destacar que el pasado 15 de febrero se publicó la Posición de la Confederation of European Data Protection Organisations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD), posición bastante clarificadora a efectos de determinar qué tipo de organizaciones necesitan de esta figura. Los criterios de designación son los siguientes:

• Como “actividades principales” habrán de entenderse de acuerdo con la descripción de la organización y los ingresos de la cuenta de pérdidas y ganancias (relación del taño de la empresa).
• “Gran escala” se entenderá según el enfoque basado en el riesgo y no tanto de volumen de datos o número de empleados en las organizaciones (relación del tipo de datos gestionados).

Por tanto, podemos concluir que toda organización que trate un volumen significativo de datos personales (grandes empresas), se cual sea su categorización, o toda empresa que trate habitualmente datos considerados como sensibles, deberá, aplicando el principio de prudencia empresarial y seguridad jurídica, contar con un Delegado de Protección de Datos, bien interno o bien Externo, contratado con una entidad especializada en el asesoramiento en materia de Protección de Datos Personales.

En Q&MA Consultores continuamos trabajando para ofrecer herramientas y soluciones profesionales que combinen una adecuación permanente a las nuevas disposiciones del reglamento Europeo con la posibilidad de acceder a un servicio de Delegado de Protección de Datos externo / subcontratado con nuestra entidad para que las pequeñas empresas de nuestro país puedan cumplir con los avances normativos sin grandes inversiones o gastos que mermen su capacidad de crecimiento. Asimismo disponemos de programas de Formación de Delegados de Protección de Datos cuyos contenidos garantizan el cumplimiento de las personas que quieran orientar su carrera profesional al desempeño de dicha labor, pues no olvidemos que las acreditaciones y programas formativos avalados por la Agencia Española de Protección de Datos no son, en absoluto, obligatorios, para el desempeño de tal función, por lo que animamos al público interesado a no caer en falsos supuestos «titulos» que habilitan para dicha función, pues no existe, a la luz del reglamento, ningún titulo oficial que habilite para el mismo.