Nueva profesión DATA: Data Protection Officer

La figura Data Protection Chief o Jefe de protección de datos va a ser en unos meses una figura común en las instituciones públicas y en las grandes empresas. Se trata de una nueva obligación que recoge el nuevo reglamento de la Unión Europea, mucho más garantista respecto a la privacidad de los datos de la ciudadanía y, por tanto, con más obligaciones para las organizaciones privadas y públicas.

Así, pues, el Consejo Europeo ha aprobado un nuevo Reglamento de Protección de Datos para modernizar la normativa y adaptarla a las nuevas tecnologías y formas de comunicación que ha entrado en vigor el pasado mes de mayo (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016).

Este nuevo reglamento supone una garantía adicional a la ciudadanía europea y, por lo tanto, un mayor compromiso de las organizaciones, tanto públicas como privadas, con la protección de datos. Algunas novedades en este sentido son que la norma se basa en la responsabilidad activa o prevención por parte de las organizaciones que tratan datos o la obligación de muchas instituciones y empresas de incorporar una nueva figura: el “Delegado de protección de datos”, lo que podemos denominar como Data Protection Chief.

La nueva figura del “Delegado de protección de datos” se recoge en el Capítulo IV. Responsable del tratamiento y encargado del tratamiento, Sección 4, y lo regula de forma específica en el artículo 37 (Designación del delegado de protección de datos), en el artículo 38 (Posición del delegado de protección de datos) y en el artículo 39 (Funciones del delegado de protección de datos).

Las funciones del Data Protection Chief serán asegurar el cumplimiento normativo de la protección de datos y haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho a la protección de datos y la seguridad de la información. Además, será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
Para poder ejercer de Delegado de protección de datos habrá que acreditar formación y conocimientos especializados en materia de protección de datos. El reglamento establece la necesidad de acreditar su habilitación para desempeñar estas funciones.
¿Qué organizaciones necesitarán incorporar la figura del Delegado de Protección de Datos?
Aparece la obligación de contratar un Delegado de Protección de Datos (DPO) en las organizaciones e instituciones públicas, en las empresas de más de 250 trabajadores y en las empresas con menos de 250 empleados con tratamiento de datos específico. En concreto, las empresas de menos de 250 que deben incorporar un DPO son aquellas que hagan un seguimiento sistemático y periódico de los datos personales tratados (para la monitorización o investigación de mercados, de análisis de riesgos, crediticios o de solvencia patrimonial), o bien aquellas que traten con datos catalogados de especialmente protegidos (religiosos o de creencias, afiliación sindical, raciales, biométricos, si permiten identificar exhaustivamente a una persona, sexuales, salud, antecedentes penales o condenas).
Algunos ejemplos de pequeñas empresas que deben incorporar DPO son aquellas que desarrollen “profilling” (registro y análisis de las características psicológicas y de comportamiento de una persona, a fin de evaluar o predecir sus capacidades en un determinado ámbito o para ayudar en la identificación de las categorías de personas) o las empresas que realicen una monitorización periódica y sistemática de los clientes a gran escala (Ej: solvencia patrimonial, investigación de mercados o en controles asociados a la productividad o en el análisis de riesgos).

Pero, ¿la incorporación de DPO significa mayor responsabilidad que la figura del Responsable de Seguridad, de la LOPD? Existe una diferencia considerable con la figura de Responsable de Seguridad: el Delegado de Protección de Datos deberá tener una exclusividad en sus funciones, no se podrá, como hasta ahora, designar al informático o al administrativo.

Ahora es el momento de prepararse para los retos de este reglamento. Los profesionales deberán formarse para poder ejercer esta nueva funció (Data Protection Chief) mientras que las empresas deberán identificar el tipo de tratamientos que realizan y el grado de complejidad del análisis. Además está creciendo de forma exponencial las empresas que incorporan análisis de datos o Big Data para ser competitivas, y las cuales van a tener que llevarlo aparejado con la protección de los datos de las personas. Sin embargo, aunque el Reglamento está en vigor desde mayo de 2016, hay contenidos del mismo, como la obligación de las empresas de realizar análisis de riesgo o de incorporar la figura del Delegado de Protección de datos, que serán aplicables en mayo 2018.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *