Esmeralda Saracíbar     Miembro del Comité Operativo del Data Privacy Institute de ISMS Forum y Socia de Ecix Group.

En el último evento del Data Privacy Institute (ISMS Forum Spain), celebrado el pasado miércoles 1 de febrero, centrado, en su mayor parte, en el análisis de los importantes cambios que traerá consigo el Reglamento Europeo de Protección de Datos, hubo una ponencia específica dedicada a profundizar en una de las profesiones que empieza a ser y será, sin duda, uno de las más demandadas durante el próximo año, el Delegado de Protección de Datos  denominado DPO por sus siglas en inglés.   ¿Qué compañías estarán obligadas a disponer de este nombramiento? Aquellas que incurran en uno de los siguientes supuestos: Su actividad principal consista en operaciones de tratamiento que, por razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Su actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales (como pudieran ser, datos de salud, religión, creencias, vida sexual, afiliación sindical, etc.) y de datos relativos a condenas e infracciones penales. Sean autoridad u organismo público (excepto los tribunales).

De cara a disipar las dudas que uno se plantea de la lectura de los supuestos anteriores, el Grupo de Trabajo del Art. 29 (futuro Comité Europeo de protección de Datos) publicó el pasado mes de diciembre, una Guía dedicada al estudio de esta figura.

En caso de que una compañía incurra en uno de los supuestos antedichos, será relevante que considere, a la hora de su nombramiento, que este profesional podrá ser interno, y formar parte de la plantilla de la empresa, o externo y desempeñar sus funciones en el marco de un contrato de prestación de servicios.

Así mismo, se habrán de plantear si su designación será para una única compañía o si, su nombramiento abarcará varias compañías de un mismo grupo empresarial y, esto último será factible siempre que sea fácilmente accesible desde cada establecimiento para todos los interesados, las autoridades de control y los miembros de la organización en el idioma u idiomas usados por los mismos. A tal fin, se habrán de poner sus datos de a disposición de estos colectivos.

¿Cuáles serán sus funciones principales?

·         Informar y asesorar a la Organización  y a los empleados que se ocupen del tratamiento de sus obligaciones en materia de protección de datos.

·         Supervisar el cumplimiento de lo dispuesto en el Reglamento y en la normativa interna en esta materia.

·          Concienciar y formal al personal que participa en las operaciones de tratamiento.

·         Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

·         Cooperar con la autoridad de control.

·         Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa cuando una evaluación de impacto muestre que el tratamiento puede entrañar un alto riesgo, si no se toman las medidas para mitigarlo, así como realizar consultas, en su caso, sobre cualquier otro asunto.

¿Qué cualidades profesionales ostentará?

El DPO deberá disponer de los siguientes strong skills: conocimiento especializado en Derecho, tanto nacional como europeo, práctica en materia de protección de datos y capacidad para cumplir con las tareas encomendadas.

Con respecto a las strong skills necesarias para un DPO, en la Jornada organizada por el DPI se resaltaron las siguientes: grado universitario más doctorado o master; certificaciones reconocidas; inglés alto; experiencia en protección de datos; conocimientos especializados en derecho y conocimiento TIC.

Con carácter adicional a las cualidades antedichas, en el evento se señalaron como soft skills valorables en un DPO, las siguientes: proactividad, creatividad, asertividad, visión global, capacidad de impacto/influencia, análisis, planificación, formación continua, trabajo en equipo, accesibilidad, transversalidad, empatía y habilidades de comunicación.

En relación a estas últimas se resaltó que a la hora de contratar un DPO, las soft skills constituyen un elemento decisivo entre candidatos con el mismo nivel de strong skills.

¿Cuál será su posición en la Compañía?

El DPO tendrá que rendir cuentas directamente al más alto nivel jerárquico, habrá de contar con los recursos y medios necesarios para el desempeño de las funciones que tiene encomendadas y participar en todas las cuestiones relativas a la protección de datos.

La Organización habrá de garantizar que el DPO no recibe ninguna instrucción en lo que respecta al desempeño de dichas funciones. En este sentido, no podrá ser destituido ni sancionado por ejercer su labor.

El DPO podrá desempeñar otras funciones dentro de la Organización, si bien las mismas no podrán dar lugar a conflictos de intereses.

En este sentido, durante la jornada del DPI se comentó que, teniendo en cuenta la posición, responsabilidades, funciones y posibles conflictos de intereses en los que pudiera incurrir el DPO, lo más recomendable sería que su dedicación fuera en exclusiva a los cometidos de esta función.