Delegado de protección de datos: ¿es obligatorio en mi empresa?

“No contar con un DPO en los casos en que sea obligatorio puede conllevar un riesgo de sanción con un rango entre 0 y 10 millones de euros para la compañía, con ciertos matices”, señala Andrés Ruiz, abogado en Metricson.

Andrés Ruiz
Metricson

El Delegado de Protección de Datos o “DPO”, por las siglas en inglés de Data Protection Officer, es sin duda una de las figuras que más ha dado que hablar durante este primer año de aplicación del Reglamento General de Protección de Datos (RGPD). Pero ¿Qué es un DPO? ¿Tengo que designar un DPO en mi empresa de forma obligatoria? ¿Qué puede ocurrir si no lo designo?

En esta entrevista, Andres Ruiz, abogado del área de Privacidad y Nuevas tecnologías en Metricson y DPO externo de varias compañías tecnológicas nos intenta acercar esta figura y solucionar las dudas que a muchos empresarios le surgen al respecto.

EMPRENDEDORES: ¿Qué es un DPO, explicado para dummies?

ANDRÉS RUIZ: El DPO es un profesional encargado de asesorar a la compañía en todos los aspectos tocantes con protección de datos de carácter personal. Esta posición, pues, cobra gran importancia tras el RGPD, ya que es la persona encargada del cumplimiento de la legislación de protección de datos.

EMP.:¿Qué características debe tener un DPO?

A.R.: La persona elegida debe tener ciertas cualidades particulares reguladas con detalle en la normativa aplicable. Entre otras debe poseer un nivel de conocimiento avanzado sobre la legislación de protección de datos y sobre el funcionamiento y organigrama de la compañía y sobre el sector en el que opera.

Es habitual que firmas jurídicas especializadas asesoremos como DPO externo. Las compañías requieren de un profesional con cualificación y garantías que comprenda la problemática respecto de protección de datos y pueda poner remedio en caso de que se produzcan situaciones indeseadas.

EMP.: ¿Cómo sabemos cuándo es obligatorio un DPO para una compañía?

A.R.: Existen distintas normativas y guías y directrices que abordan esta cuestión. Según la nueva Ley Orgánica de Protección de Datos (LOPD) existe un listado de supuestos donde es obligatorio designar un DPO (artículo 34 LOPD), además debemos atender a lo dispuesto en el artículo 37 del RGPD y a la interpretación de conceptos realizada por el Grupo europeo de Trabajo del Artículo 29.

En consecuencia, es importante que un abogado especializado realice un análisis exhaustivo al respecto y documente sus conclusiones. Las cuestiones por analizar serían, entre otras:

  1. Si la compañía está en los supuestos del articulo 34 de la LOPD;
  2. Si la compañía es un organismo público;
  3. Cuáles son las actividades principales de la compañía;
  4. Si la compañía realiza tratamiento de datos especialmente protegidos o relativos a condenas o infracciones penales;
  5. Los conceptos de “observación habitual” y “a gran escala”, analizando el número de sujetos afectados por el tratamiento, el volumen de datos, la duración y el alcance geográfico de los tratamientos que realiza la compañía.

    EMP.: ¿Qué consecuencias tiene no designar un DPO cuando es obligatorio?

    A.R.: El art. 83.4 del RGPD señala la imposición de en una multa administrativa de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, para las infracciones de determinadas disposiciones.

    Entre estas disposiciones están las de los artículos 25 a 39 RGPD, que tratan la necesidad del DPO. Por lo tanto, el incumplimiento de la obligación de designar un DPO constituirá una infracción que puede conllevar una multa de las cuantías indicadas.

    El problema está en que no es difícil afinar más la posible sanción, ya que no existe un histórico de sanciones de la Agencia Española de Protección de Datos por este particular.

    EMP.: ¿Qué responsabilidad tiene un DPO en caso de sanción?

    A.R.: Esta pregunta es, sin duda, una de las que más preocupan a las compañías. En este sentido, la responsabilidad en caso de sanción a la compañía por un incumplimiento en materia de protección de datos será siempre impuesta al responsable del tratamiento, sin que exista responsabilidad personal para el DPO. Esta cuestión y la mayor parte de las tratadas, por supuesto tiene matices técnicos imposibles de aclarar en esta entrevista divulgativa.

    Publicidad - Sigue leyendo debajo
    Más de Crea tu empresa