Qué es un DPO, cuándo es necesario su nombramiento, qué funciones tiene.
La inminente aplicación el próximo 25 de mayo del Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo está generando las lógicas dudas, bastantes, respecto a su articulado, sobre todo en lo referente a figuras que antes no existían en la normativa nacional aplicable (recordemos que a día de hoy sigue en vigor la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo aprobado por RE 1720/2007). Una de estas figuras es el denominado Delegado de Protección de Datos (Data Protection Officer en la terminología utilizada en la documentación emitida por la UE). Es necesario y obligatorio que el responsable del tratamiento de datos o el encargado designen un DPO en alguno de los siguientes casos:
1 Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales de justicia.
2 Cuando las actividades principales del responsable o encargado consistan en una observación habitual o sistemática de interesados a gran escala.
3 Cuando las actiuvidades de tratamiento consistan en datos que revelen origen étnico o racial de los interesados, opiniones políticas, convicciones religiosas/filosóficasdatos biométricos que permitan la identificación de personas, datos relativos a la salud o vida u orientación sexual.
4 Cuando se realice el tratamiento de datos relativos a condenas e infracciones penales.
El grupo de trabajo creado el año 1996 en el seno de la UE para la interpretación de la normativa y aclaración de dudas en materia de Protección de Datos (Article 29 Working Party), constituido por un representante de la autoridad de Protección de Datos de cada estado miembro, ha emitido una serie de aclaraciones respecto a los supuestos en que es obligatorio designar un DPO. Así, respecto a qué se considera “actividades principales” interpreta que son aquellas necesarias e imprescindibles para el desarrollo de su objeto social, por ejemplo el tratamiento de datos de salud de sus pacientes por parte de un hospital.
En cuanto al concepto de “tratamiento a gran escala” el 29WP considera que hay que considerar la extensión geográfica de actuación, volumen de datos, número de afectados (ya por número específico o proporción), duración o permanencia del procesado de datos. Ejemplos citados de este tratamiento a gran escala son el tratamiento de datos médicos de pacientes por un hospital, el tratamiento de datos de clientes por parte de entidades financieras o de seguros, datos de tráfico y localización por parte de compañías telefónicas y proveedores de internet.
Por “observación habitual y sistemática” se entiende el tratamiento de datos efectuado de forma periódica o recurrente, de modo sistematizado y llevado a cabo como parte de una estrategia de toma y procesado de datos.
En otros supuestos distintos a los citados, se puede nombrar con carácter voluntario un DPO, y de hecho el grupo de trabajo creado en el seno de la UE para la interpretación de la normativa y aclaración de dudas ve con buenos ojos esta implantación voluntaria como un paso adelante dentro de la una implantación adecuada de la Política de Protección de Datos en el seno de la organización.
El DPO debe ser un experto conocedor de la normativa aplicable tanto a nivel nacional como comunitaria y tener conocimiento de los médios técnicos y sistemas utilizados en la obtención, tratamiento, procesado y almacenamiento de los datos personales. Tiene como funciones prioritarias asesorara, al más alto nivel, a la organización, promover la formación del personal que lleve a cabo el tratamiento de datos. No es necsario que el DPO forme parte de la plantilla de la oirganización, sino que puede tener una relaci´pon de prestación de servicios. Además, el DPO puede formar parte de una empresa especializada en la prestación de estos servicios, y disponer de un equipo de profesionales: lo que es siempre preciso es la constancia nominal de un DPO, que será el interlocutor con la entidad que contrate sus servicios y que figurará en el registro de nombramiento de esta figura.
