Mucho se ha hablado sobre la figura del Delegado de Protección de Datos, también conocida como DPO por sus siglas en inglés (Data Protection Officer), que recoge el nuevo Reglamento General de Protección de Datos en su Sección 4 (Artículos 37, 38 y 39). Y la razón viene de la obligatoriedad de implantar esta figura para todas aquellas organizaciones que procesen datos a gran escala y/o que procesen datos sensitivos.
Esta obligatoriedad, unida a la inminente implementación del RGPD el 25 de mayo de 2018, ha hecho que la figura del Delegado de Protección de Datos sea de las más discutidas entre las empresas que se encuentran en pleno proceso de adaptación a la nueva regulación.
La Agencia Española de Protección de Datos está en estos momentos desarrollando, en colaboración con la Entidad Nacional de Acreditación (ENAC), un modelo de certificación como Delegado de Protección de Datos que servirá para que los profesionales que así lo deseen puedan probar su cualificación para ocupar el puesto de DPO dentro de una organización.
Es importante puntualizar que esta acreditación no es en ningún caso obligatoria para el desempeño del puesto de DPO.
En lo que se refiere a la formación que debe tener el Delegado de Protección de Datos, el RGPD dice en el punto 5 de su artículo 37 que:
- El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
Por lo tanto, aunque no se exige una titulación jurídica, sí se requiere un conocimiento pormenorizado de las leyes de protección de datos.
Asimismo, es importante destacar que el Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como externa y que el cargo podrá ser desempeñado también por una empresa (persona jurídica) externa como recoge el punto 6 del artículo 37.
- El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
La AEPD ha manifestado su intención de que la acreditación esté preparada dentro de la primera mitad de 2017 y ha subrayado su carácter opcional del siguiente modo en su blog:
“si bien esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.
Enlaces relacionados:
Entrada sobre la acreditación en el Blog de la Agencia Española de Protección de Datos
