Si te has preguntado en más de una ocasión «¿cuándo es obligatorio un delegado de protección de datos (DPO)?», en este artículo, te aclararemos todas las dudas que te puedan surgir al respecto. Y es que tras la aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, nos encontramos con la figura del DPO (Data Protection Officer), una figura que viene regulada en los artículos 37 a 39 del Reglamento y que, aunque antes no existía, desde ahora lo tendremos que tener muy en cuenta.
¿Cuándo es obligatorio un delegado de protección de datos (DPO)?
¿Qué dice el reglamento al respecto? Según expone el artículo 37.1 del Reglamento Europeo de Protección de Datos habrá que designar un delegado de protección de datos siempre que se cumpla lo siguiente:
- Autoridad u organismo público, excepto tribunales que actúen en ejercicio de su función judicial.
- Actividades principales del responsable o encargado mediante operaciones de tratamiento, cuyos fines requieran de observación habitual y sistemática de interesados a gran escala.
- Actividades principales del responsable o encargado que traten a gran escala categorías especiales de datos personales (con arreglo al artículo 9 y de datos referentes a condenas e infracciones penales referido al artículo 10).
Esto quiere decir fundamentalmente, que todos los organismos públicos están obligados a contratar un Delegado de Protección de Datos (DPO). Aunque el Reglamento da la opción de que un conjunto de organismos tengan contratado un único DPO, dependiendo de su tamaño y estructura como es lógico.
Además, deberán contratar un DPO todas las empresas privadas que utilicen datos sensibles de forma habitual y masiva (como las grandes bases de datos de clínicas, colegios…). Pero cada grupo empresarial deberá contratar a un solo DPO. Con la condición de que sea accesible desde cualquier establecimiento del grupo empresarial.
¿Es obligatorio contratar el DPO como trabajador?
El DPO puede ser contratado como trabajador dentro de la plantilla o también ser una persona física o jurídica externa a la que se le contratan los servicios. Admite ambas posibilidades. Pero para saberlo exactamente y que puedas entenderlo mejor, tenemos que mencionar lo que dice el apartado 6 del artículo 37 del Reglamento Europeo de Protección de Datos: «el DPO podrá formar parte de la plantilla del responsable o del encargado o desempeñar sus funciones en forma de contrato de servicio«.
¿Quién puede ser DPO o Delegado de Protección de Datos?
Otra pregunta que surge derivada de esta nueva figura, es acerca del perfil de la persona encargada de DPO. Más concretamente, artículo 37.5 del Reglamento establece: «el delegado de protección de datos será designado en base a sus cualidades profesionales y conocimientos en Derecho y la práctica en materia de protección de datos, además de la capacidad para desempeñar funciones que se indican en el artículo 39«.
Esto es, un DPO podrá ser cualquier persona que tenga conocimientos jurídicos, como un abogado, pero es necesario que esté especializado en el campo de protección de datos como es lógico.
Ahora ya sabes cuándo es obligatorio un delegado de protección de datos (DPO), quién puede serlo y si es necesario contratarlo. Pero si te han quedado dudas al respecto o necesitas ampliar tus conocimientos, puedes preguntarnos.