La nueva versión de propuesta del Reglamento Europeo General de Protección de Datos cuenta entre sus novedades con la figura del Oficial de Protección de Datos o Data Protection Officer (DPO), el nuevo guardián de los datos personales.

La regla general del consentimiento, la eliminación de notificaciones de ficheros, los mayores deberes del responsable y del encargado, las notificaciones de brechas de seguridad, la introducción de nuevos conceptos (privacy by design, privacy by defaulty privacy impact assessment), la regulación del derecho al olvido, el reconocimiento explícito de las BCR o el aumento de las sanciones, pasan a un segundo plano, entre las novedades recogidas por la nueva propuesta de Reglamento General de Protección de Datos de la Unión Europea, frente al reconocimiento y regulación de la figura del DPO.

Establece la norma europea que la actuación del DPO debe estar regida por el principio de control, rendición de cuentas y diligencia debida. El DPO, promoviendo el cumplimiento de la normativa de protección de datos personales, se convierte en un actor esencial para garantizar y proteger la privacidad y seguridad de los datos responsabilidad de la empresa. La elección del DPO se presenta como un factor de imagen positiva que crea confianza, si bien los datos personales son un activo valioso de la empresa, y como medida preventiva para garantizar su protección, se nombra al DPO.

El responsable del tratamiento y el encargado del tratamiento, según se prevé en la propuesta europea, deberán designar a un DPO siempre que estos sean una autoridad u organismo público, una empresa con más de 250 empleados o tengan como actividad principal operaciones de tratamiento que requieran un seguimiento periódico y sistemático de los interesados. No obstante, ello no es impedimento para que organizaciones menores designen a su propio DPO.

La Comisión Europea deja abierta la fijación de las cualidades o criterios que se han de seguir para el nombramiento del DPO. No obstante, algunos de ellos son: buen conocimiento de la normativa de protección de datos, conocimiento de estándares de tecnologías de la información, capacidad de gestión, comprensión del modelo de negocio y de la organización, independencia. Además, cabe señalar que el DPO podrá ser interno o externo a la organización, será nombrado por un periodo de 2 años, su contratación puede ser laboral o mercantil y, en todo caso, servirá de contacto o referencia frente a la Autoridad y, en su caso, el titular del dato.

Entre las obligaciones del DPO se encuentra la de informar y asesorar sobre las obligaciones que incumben al responsable y al encargado, supervisar la implantación y aplicación de políticas y de la normativa, velar por la conservación de la documentación, monitorizar con el fin de asesorar a la organización en el cumplimiento de las normas de protección de datos, gestionar de forma proactiva y estratégica. Frente a estas obligaciones cabe señalar que no corresponderá al DPO la toma de decisiones la cual sigue en manos del responsable y del encargado, responsables legales a todos los efectos, si bien las funciones del DPO serán de mera asesoría y supervisión.

Ante este horizonte no muy lejano, acabamos esta reflexión como empezamos ¿cómo se está preparando su empresa para designar a un DPO?.