¿Qué no es un DPO?

La figura del DPO ha generado una serie de malentendidos entre las empresas y profesionales e incluso entre algunos expertos en protección de datos. Recientemente, el adjunto a la dirección de la Agencia Española de Protección de Datos (AEPD), D. Jesús Rubí Navarrete, aclaró algunos aspectos fundamentales sobre qué es y, sobre todo, qué no es un DPO en un evento celebrado en la sede del Grupo PSN en Madrid.

«El DPO no es el que tiene cumplir» declaró Rubí acerca de la figura del Delegado de Protección de Datos en las farmacias. «El que tiene que cumplir es el titular de la oficina de farmacia que es el responsable de ese tratamiento. El DPO es alguien que le ayuda a resolver problemas, que le aclara en qué consisten las medidas, que puede supervisar si las está aplicando o no correctamente. Pero nunca será el responsable.»

Es importante puntualizar que estas declaraciones aplican a cualquier tipo de actividad, no solo a oficinas de farmacia.

El DPO informa, asesora, supervisa

Las funciones del Delegado de Protección de Datos (DPO) están recogidas en los cinco apartados del Artículo 39 del Reglamento General de Protección de Datos (RGPD). Estas funciones son las de asesorar e informar al responsable o encargado de tratamiento de sus obligaciones legales en materia de protección de datos y supervisar su cumplimiento asignando las responsabilidades a quien corresponda dentro de la organización. El RGPD también recoge la función del DPO como figura que promueva la cultura de protección de datos dentro de las organizaciones y asuma responsabilidades en la formación del personal.

Otra función fundamental del DPO será la de cooperar con las autoridades de protección de datos y actuar como punto de contacto entre el responsable de tratamiento y dichas autoridades.

Como vemos, la figura del DPO está dotada de una serie de funciones muy relevantes dentro de una organización. Sin embargo, en ocasiones se le quiere dotar todavía de una mayor responsabilidad y se considera, erróneamente, que el DPO es el responsable de que se tomen las medidas necesarias para lograr el cumplimiento de la ley.

Esto no es así. El DPO, según la AEPD, «no será responsable del cumplimiento en el desempeño de sus funciones ni podrá ser por tanto objeto de sanciones».

Un DPO, por tanto, no está expuesto a sanciones, sino que es el responsable o encargado de tratamiento el que puede recibir una sanción. Así de claro lo dice el punto 2 del Título IX: Régimen Sancionador de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales:

No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título.

El DPO no es un empleado más

Otra idea muy extendida y que tampoco se corresponde con la realidad es que, como la empresa u organización paga al DPO por su trabajo, éste tiene que obedecer sus órdenes.

Artículo 36 Punto 2 (LOPDGDD) Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.

Por lo tanto, el DPO no es un empleado cualquiera sino una figura con autonomía de acción y que no puede, además, estar directamente involucrado en los procesos y actividades de la empresa u organización ya que ello podría hacerle incurrir en un conflicto de intereses.

Por ejemplo, si se nombra DPO al jefe de informática de una empresa y éste tiene que supervisar que sus propios sistemas cumplan con la normativa, esto podría derivar en que se pusiese a sí mismo el listón más bajo.

Un DPO no es una persona con una certificación determinada

Aunque la AEPD haya puesto en marcha certificaciones dirigidas a formar Delegados de Protección de Datos, estas titulaciones no son en ningún caso necesarias para desempeñar este cargo.

La LOPDGDD hablar de estas certificaciones como «voluntarias» y menciona expresamente que se deben acreditar «conocimientos especializados en el derecho y la práctica en materia de protección de datos».

Cualquier responsable o encargado puede nombrar un DPO

Según la propia AEPD, un responsable o encargado de tratamiento puede optar voluntariamente por nombrar un DPO sin que la ley le obligue a ello. La razón es que este gesto podría ser interpretado por las autoridades de protección de datos como una demostración de una diligencia superior.

COOKIES	FINALIDAD	PERÍODO DE CONSERVACIÓN	TITULARIDAD
PHPSESSID	Mantener una sesión de usuario anónimo en el servidor.	SESIÓN	PROPIA
wordpress_test_cookie	Cookie necesaria para el funcionamiento de la Web	SESIÓN	PROPIA
moove_gdpr_popup	Cookie para el tratamiento de las cookies	1 año	PROPIA

El DPO informa, asesora, supervisa

El DPO no es un empleado más

Un DPO no es una persona con una certificación determinada

Cualquier responsable o encargado puede nombrar un DPO

Entradas recientes

Categorías

Archivos

¿Qué no es un DPO?

El DPO informa, asesora, supervisa

El DPO no es un empleado más

Un DPO no es una persona con una certificación determinada

Cualquier responsable o encargado puede nombrar un DPO

Artículos Relacionados

La AEPD dejará de asesorar a responsables de tratamiento

Las empresas de más de 50 empleados estarán obligadas a tener un DPO

La AEPD valora positivamente a los Delegados de Protección de Datos tras un año de RGPD

Mejorando el papel de los Delegados de Protección de Datos: Ideas del Marco de Ejecución Coordinada del EDPB

Entradas recientes

Categorías

Archivos

Etiquetas