Logo 7Experts
La figura del DPO: qué es y por qué es importante para la empresa
La figura del DPO: qué es y por qué es importante para la empresa

POST TITLE

Alfonso Gonzàles 7Experts

Alfonso Gonzàlez

Special Project

7Experts

¿Quieres hablar con el?

Comparte:

La nueva legislación insiste en la importancia del DPO

Actualmente, la Protección de los Datos personales se ha convertido en un tema máxima importancia. La preocupación por parte de la población en la protección y seguridad de sus datos personales es más que evidente, nadie quiere que rastreen sus datos sin su consentimiento o que se haga un uso indebido de los mismos. Todo ello, ha provocado que tanto la UE como todos los países integrantes, tomen cartas en el asunto y legislen acerca de la protección de esos datos.


Desde la entrada en vigor el Reglamento General de Protección de Datos (en adelante, RGPD), se introducen muchas novedades en la Protección de Datos y se crea un nuevo sistema que tiene como finalidad darle un plus de seguridad a nuestros datos personales.


Como novedades más destacables:


  1. La introducción del concepto de “principio de responsabilidad pro-activa”, es decir, el Responsable de la protección de los Datos, como son empresas, organismos públicos, tiene el deber de implementar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la normativa, y también, para hacer ver a los interesados y autoridades que se están llevando un control de las medidas. Este principio se configura como el “alma” del RGPD.
  2. Otra medida de importancia, para adecuarse al RGPD, son las medidas de seguridad como evaluaciones de impacto, registro de actividades de tratamiento, etc…
  3. También, como novedad, se ha introducido la figura del Data Protection Officer (en adelante, DPO).


Sobre esta última figura vamos a analizar su importancia, pero… ¿Quién es el DPO? ¿Qué funciones tiene? ¿Es obligatorio? ¿Se puede externalizar? A lo largo del presente artículo vamos a dar respuesta a las preguntas anteriores y, además, a otras cuestiones de interés.

¿Qué es el DPO y qué funciones tiene?

Es el garante de supervisar el cumplimiento de toda la normativa de Protección de Datos en las organizaciones o instituciones, que, en todo caso, debe ser independiente y experto en la materia. Sus funciones las podemos delimitar entre las siguientes:


  • Información y asesoramiento a la empresa que vela y recaba los datos, que es el “Responsable del tratamiento” (o cuando existe un “Encargado de tratamiento” que gestiona esos datos por parte del “Responsable”) que se cumpla las obligaciones que impone el RGPD.


  • Supervisión: El DPO tendrá la labor de asignar políticas en las empresas, concienciar y formar al personal.


  • Actuación: Es el intermediario entre los interesados y la autoridad de control (AEPD) para todas las cuestiones relativas al tratamiento de datos.


  • Cooperación: tiene como labor esencial cooperar y ejercer la labor de intermediación con la Autoridad de Control (AEPD).

 

Parece claro que tiene un papel importante en cualquier organización, por ello, el RGPD le otorga unas características únicas dentro de las organizaciones. Por ejemplo, el DPO puede ser tanto una Persona Física (persona con conocimiento en Protección de Datos dentro de la plantilla) como una Persona Jurídica, por lo tanto, se puede externalizar a la entidad u organización que supervisa. También, puede desempeñar otras funciones dentro de las empresas, pero hay que evitar conflicto de intereses, por ello, en la legislación se excluye que puedan ser DPO la Alta Dirección. 

¿Es obligatorio el DPO en mi empresa?

Como hemos visto, la figura del DPO es esencial en las organizaciones, pero… ¿Cuándo es obligatorio contar con un DPO en la organización?


Para resolver esta cuestión hay que acudir al RGPD, que establece unas pautas genéricas a la hora de designar un DPO:


  • Cuando el tratamiento lo lleve a cabo una autoridad pública, excepto los tribunales que actúen en ejercicio de su función judicial.


  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos. Esta categoría de datos se refiere a los que tengan que ver con el origen étnico o racial, opiniones políticas, afiliación sindical, el tratamiento de datos genéticos o datos biométricos dirigidos a identificar una persona física, datos relativos a la salud o a la vida sexual y condenas e infracciones penales.


  • Las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala.

 

Cuando hablamos de una “observación habitual y sistemática a gran escala” existe una cierta confusión dado que el RGPD no define qué es el tratamiento a gran escala ni establece cifras concretas. Sin embargo, existen ciertos aspectos destacados por la European Data Protection Board para saber si trabajamos o no con datos a “gran escala”:


  1. el número de interesados afectados;
  2. el volumen de datos que son objeto de tratamiento;
  3. la duración de esos tratamientos y
  4. la extensión geográfica de tales tratamientos.


Cierto es que los parámetros del órgano consultivo en la materia no son del todo esclarecedores, pero podemos tomar como ejemplo la primera multa en España por no tener DPO en la plantilla: la multa de 25.000 € a Glovo. En ese caso, se tomaron en cuenta los parámetros expuestos, pero la AEPD no hacía mención explícita en su resolución a los criterios utilizados para aplicar los parámetros. Sin embargo, parece lógico pensar que los más de 2 millones de usuarios que tiene Glovo en España es una cifra suficiente para catalogarlo como tratamiento a “gran escala”.


Por otro lado, en nuestra normativa interna, la Ley de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) sí concreta los casos en los que es obligatorio nombrar un DPO de forma obligatoria, aunque el propio artículo deja margen de interpretación, que con el paso del tiempo se irán perfilando. Pero la LOPDGDD establece que organizaciones e instituciones tienen que nombrar un DPO obligatoriamente: 


Obligatoriedad del DPO

Cada vez hay más sanciones…

La tendencia de las sanciones impuestas por la AEPD en materia de ausencia de la figura del DPO en las organizaciones es al alza.


En primer lugar, hay que señalar que la multa por no tener designado un DPO cuando tu organización está obligada a ello (conforme al artículo 83.4 a. del RGPD), asciende hasta los 10.000.000 € o a una cuantía equivalente al 2% como máximo del volumen de negocio total anual del ejercicio financiero anterior (optándose por la de mayor cuantía).


Por lo tanto, son cifras bastante altas, que dependiendo si la infracción es leve, grave o muy grave, deja margen de maniobra a las entidades de control para imponer sanciones de cualquier cuantía.


De hecho, la AEPD ha expuesto en su Memoria 2020, las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. Y en ella, se muestra como han ido aumentando el número de reclamaciones de los interesados para hacer valer sus derechos, y, por ende, el número de sanciones. Es por ello, que esta tendencia se ha ido demostrando con las últimas grandes sanciones por parte de la AEPD, el 11 de diciembre de 2020 a BBVA de 5 millones de euros, a CaixaBank el 13 de enero de 2021 de 6 millones y a Vodafone, el 11 de marzo de 2021 con una multa de 8,15 millones de euros.

Memoria 2020 AEPD

Por lo tanto, ante esta tendencia al alza, conviene estar preparado ante posibles sanciones, y contar con un DPO en la empresa puede mitigar las sanciones y llevar el control de la protección de datos desde la supervisión de un experto en la materia.

Resumiendo… ¿Por qué contar con un DPO?

A lo largo del artículo, hemos intentado dar más luz sobre la importancia de contar con esta figura en las organizaciones. Cabe destacar, fundamentalmente, tres puntos:


  • Es muy importante importancia el cumplimiento de la normativa, tanto nacional como europea, en Protección de Datos por parte de las organizaciones. Las sanciones tienen tendencia al alza y, cada vez más, existe una mayor preocupación por parte de la población en la protección de sus datos personales.


  • La importancia de tener un DPO en tu organización, aunque no sea obligatorio, ya que, en esos casos, se considera como una medida de “responsabilidad pro-activa”.


  • El mundo de la Protección de Datos está en continuo cambio, por lo que, cada vez más se irán asentando los parámetros de la obligatoriedad de tener un DPO en tu organización, pero adaptarse y prevenir es, sin duda, la mejor opción.


Ready to talk

Share by: