Qué es un Delegado de Protección de Datos

24/04/2017

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.

El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.

En la Guía del Reglamento General de Protección de Datos para responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el delegado de protección de datos.

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

No obstante, lo anterior, conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

Asimismo, y con la finalidad de que todos los implicados puedan participar en este modelo, la AEPD también ha impulsado la creación del Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos, del que forman parte asociaciones y entidades representativas de varios sectores, así como las Autoridades de Protección de Datos de Cataluña y País Vasco.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación de la siguiente forma:

En primer lugar, existirá un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.

En segundo lugar, habrá otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Ambos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Por último, indicar que si bien esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.