El Reglamento General de Protección de Datos (GDPR) requiere que el responsable de los ficheros o tratamiento designe un Delegado de Protección de Datos (DPO) en ciertos casos.
Muchos procesadores de datos y controladores no incluidos en las circunstancias particulares que se describen en el RGPD también pueden designar voluntariamente un DPO para supervisar el cumplimiento de la normativa.
El RGPD establece unos requisitos para los Delegados de Protección de Datos.
Estos, en general, se dividen en tres capítulos: el conocimiento, las habilidades y la independencia.
Aquí te explico todos esos requisitos.
El DPO, ante todo, debe tener conocimiento de experto en la ley de protección de datos y las prácticas de protección de datos.
Esto requiere un conocimiento técnico de la ley y un conocimiento operativo de la forma de aplicar la ley en la práctica.
La clave para ello será saber cómo:
El Delegado de Protección de Datos será, por tanto, figura clave para garantizar la privacidad y confidencialidad exigida a esos datos especialmente protegidos.
Normalmente será un consultor especializado, independiente o adscrito a un despacho profesional o a una empresa de consultoría, el que actúe y reciba el nombramiento como Delegado de Protección de Datos externo.
El DPO, ante todo, debe tener conocimiento de experto en la ley de protección de datos y las prácticas de protección de datos. Su perfil formativo, debe ser de Licenciado en Derecho con buenos conocimientos de tecnologías TIC.
Para poder garantizar la seguridad de la información referida a datos de carácter personal, un Delegado de Protección de Datos deberá tener conocimientos en materias jurídicas, técnicas y organizativas.
El perfil formativo de éste debe ser un perfil de Licenciado en Derecho con buenos conocimientos de tecnologías TIC. O bien un Ingeniero de Sistemas o equivalente con sólidos conocimientos sobre la legislación vigente en materia de protección de datos personales.
O quizá ambos son válidos, pues cada perfil puede buscar formación complementaria en el ámbito en el que presente mayores carencias.
El DPO debe tener las habilidades necesarias para llevar a cabo la función.
El papel de DPO es un cargo de responsabilidad que debe informar al nivel superior de gestión, y facilitar la comunicación entre todos los departamentos y todos los niveles del personal.
Fuertes habilidades de comunicación son una necesidad.
Debe ser capaz de comunicarse de manera estratégica y tener la capacidad de escribir informes concisos, estructurados y desarrollar materiales informativos claros.
La capacidad de guiar o llevar a cabo las evaluaciones de impacto de protección de datos es fundamental para la función.
El candidato va a demostrar gran capacidad de análisis combinados con la lógica y el razonamiento. Habilidades de gestión general del proyecto serán necesarias.
La capacidad de trabajar de forma independiente y la experiencia de trabajar en equipos funcionales cruzados será útil.
Será necesario un conocimiento práctico de la empresa de manera que no hay funciones se pasan por alto o mal interpretadas.
El DPO podrá ser obligado a auditar a proveedores sobre las actividades de protección de datos por lo que un poco de conocimiento de gestión de proveedores sería deseable.
El DPO está obligado a la confidencialidad en la realización de sus tareas. Así se le busca por un candidato que es discreto y puede mantener su propio consejo.
Por encima de todo el Delegado de Protección de Datos necesita ser firme y con autoridad.
La organización tiene que sentarse y actuar cuando el DPO se lo pide. Por lo tanto, el DPO debe ser alguien que la organización va a escuchar.
En primer lugar, existe un requisito de involucrar al DPO en todas las cuestiones que se refieren a la protección de datos en la organización.
El DPO puede desarrollar el conocimiento experto de manipulación en todos los aspectos de las operaciones de datos y esto asegura que no hay operaciones de datos ocultos o cerrados.
También deberá informar al más alto nivel de gestión en la organización.
Por ejemplo, un DPO podría informar a la junta directiva de una cooperativa de crédito o de una organización de caridad o al VP Senior de una división en una multinacional.
Una organización no puede dar la instrucción al DPO sobre la forma de llevar a cabo sus tareas, ni puede él o ella ser despedido por hacer su trabajo. La independencia de este papel está protegido por la ley.
La empresa debe dar al DPO los recursos necesarios que se requieren para llevar a cabo su trabajo con eficacia. Por encima de todo, el DPO debe tener acceso a las personas y los datos con el fin de evaluar las operaciones de datos en curso.
La independencia del DPO no se debe interpretar para convertirle en una “mini- autoridad de protección de datos”, en el CEO de la organización o el representante de los interesados.
La independencia debe garantizarse con un DPO que tenga integridad y lealtad. Este debe tener una línea de reporte directo al Consejo de Administración –u órgano equivalente- de la organización o a un miembro de este, en relación a sus responsabilidades de DPO.
Aunque se permite al DPO tener otras funciones, sólo se le puede confiar tareas y deberes siempre que éstos no den lugar a conflictos de intereses.
Esto implica en particular que el DPO no puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y los medios de tratamiento de los datos personales. Debido a la estructura organizativa específica en cada organización, esto tiene que ser considerado caso por caso.
Los deberes de confidencialidad del DPO respecto a la organización que le designó deben clarificarse para garantizar que la lealtad de éste respecto de su empleador o de su cliente no quede comprometida. Y su adecuada integración en la organización como un “asesor de confianza”.
Los riesgos de conflicto de intereses pueden surgir si el puesto de DPO se sitúa en los departamentos de Seguridad, TI, RR.HH. u otros departamentos que tomen decisiones sobre las actividades de tratamiento de datos.
¿Cumples todos los requisitos? Pues no esperes más, es una oportunidad laboral sin precedentes.