El Data Protection Officer, ¿quién es y qué hace?

 

¿Te suenan de algo estas siglas: GDPR?

Quizá no lo ubicas todavía, pero…. ¿y si te preguntamos si has estado recibiendo emails de todas las empresas que tenían tus datos? Seguro que ahora te suena más. Se trata de la General Data Protection Regulation o, en español, RGPD (Reglamento General de Protección de Datos), y es la nueva regulación que todas las empresas europeas tuvieron que acatar desde el 25 de mayo de 2018.

Como te decimos, seguro que te suena, bien porque tu empresa se tuvo que poner las pilas al respecto o bien porque has recibido multitud de emails informándote de los cambios. Sea como fuere, es una realidad que la GDPR ha revolucionado los departamentos de RR.HH de muchas empresas, pues a partir de esta nueva normativa los derechos y obligaciones de todos los países de la Unión Europea se unifican en cuanto al uso de datos personales.

Así como las empresas se ven afectadas en cuanto a sus obligaciones con los usuarios, los mismos usuarios tendrán, a partir de ahora, más mecanismos para conocer qué datos tienen las empresas sobre ellos y más posibilidades, como la de que de que estos datos sean eliminados cuando ya no se necesiten o no se tenga más consentimiento. Puedes consultar todo el nuevo reglamento en la web de la Comisión Europea.

¿Qué papel tiene el Data Protection Officer en todo esto?

La figura del DPO (Data Protection Officer), que en español lo traduciríamos como el Delegado de Protección de Datos (DPD), será fundamental para que las empresas puedan adaptarse bien al nuevo reglamento.

Se trata de un nuevo puesto que surge para ayudar a las empresas a adaptarse y garantizar que se cumple bien con toda la nueva normativa. Para optar a ser DPO será necesario tener conocimientos de legislación en cuanto a protección de datos, pero no será necesario que se tenga una titulación específica para ello.

Las empresas pueden contratar un DPO interno o externo, en algunos casos la contratación es obligatoria como se recoge en el artículo 39 de la GDPR. Existen tres tipos de empresas que están obligadas a tener un DPO: los organismos públicos, las organizaciones con actividades que requieren el tratamiento a gran escala de datos y las organizaciones cuyas actividades requieren el seguimiento regular y sistemático de los interesados a gran escala.

Para poder optar a un puesto de DPO existe una certificación de Delegados de Protección de Datos establecido por la AEPD (Agencia Española de Protección de Datos).

¿Qué hace un DPO?

La GDPR establece las funciones que debe de cumplir un DPO:

  • Tiene que informar y aconsejar tanto a la organización como a los empleados sobre la implantación de la nueva normativa.
  • Hacer monitoreo de su puesta en marcha dentro de la empresa.
  • Contactar con las autoridades responsables y cooperar con ellas en todo momento.
  • Asesorar sobre todo lo referido a esta nueva legislación.

En definitiva, aunque no sea obligatorio en todas las compañías, la contratación, ya sea externa o interna, temporal o indefinida, de un Data Protection Officer, garantizará a la empresa una correcta adaptación a la nueva normativa.