La figura del DPO desde la óptica del RGPD y el Proyecto de Ley de Protección de Datos

La figura del Data Protection Officer (DPO)

El Reglamento General de Protección de Datos (RGPD), aplicable a partir del 25 de mayo de 2018, introdujo la figura del DPO (Data Protection Officer o Delegado de Protección de Datos) en sus artículos 37, 38 y 39, definiéndole como la persona física o jurídica -interna o externa en relación al Responsable del tratamiento-, encargada de coordinar la correcta adaptación a la normativa europea en materia de protección de datos, así como de realizar un seguimiento continuo de todas las cuestiones y aspectos relevantes acerca de la misma. 
De otro lado, tal y como ya ha señalado la Agencia Española de Protección de Datos (AEPD), el DPO ha de ser estar preferiblemente, dotado con conocimientos jurídico-técnicos, y especialmente en protección de datos, que le permitan asumir de forma óptima las funciones que el RGPD le encomienda, y a las cuales haremos referencia más adelante. 
En cuanto a la obligatoriedad a la hora de designar un DPO en el seno del Responsable del tratamiento, el artículo 37 del RGPD señala que será necesario su nombramiento, fundamentalmente, ante las siguientes circunstancias: cuando el tratamiento lo lleve a cabo una autoridad u organismo público; cuando las actividades de tratamiento requieran una observación habitual y sistemática de interesados a gran escala; o cuando se proceda al tratamiento a gran escala, de datos de categorías especiales. 
 

Nueva Ley de Protección de Datos de Carácter Personal

Actualmente, en el ámbito nacional, se encuentra en tramitación el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, destinado a sustituir a la Ley 15/1999, de 13 de diciembre (LOPD). La nueva norma incorpora en multitud de aspectos, las directrices marcadas por el RGPD, y contiene además en su artículo 34, una detallada especificación de los casos en los que será preceptiva la designación de un DPO. Los supuestos destacados por el precepto mencionado, serían esencialmente: 

1. Los colegios profesionales y sus consejos generales. 
2. Los centros docentes y las Universidades públicas y privadas.
3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas  cuando traten habitual y sistemáticamente datos personales a gran escala.
4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala 
5. perfiles de los usuarios del servicio.
6. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, 
7. supervisión y solvencia de entidades de crédito.
8. Los establecimientos financieros de crédito. 
9. Las entidades aseguradoras y reaseguradoras.
10. Las empresas de servicios de inversión. 
11. Los distribuidores y comercializadores de energía eléctrica.  
12. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude. 
13. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
14. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas. 
15. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que 
16. se refieran a personas físicas.
17. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos. 
18. Quienes desempeñen actividades de seguridad privada.
     

Funciones que asumirá el DPO
 

Por otra parte, de la lectura tanto del RGPD como del actual Proyecto de Ley Orgánica de Protección de Datos, se extrae como conclusión, que las principales funciones a asumir por el DPO, serán esencialmente las siguientes: 

• Informar y asesorar al Responsable del Tratamiento, acerca de las obligaciones que han de cumplir conforme a lo dispuesto por el RGPD. 
• Supervisar el cumplimiento de lo dispuesto en el RGPD, así como en las políticas y protocolos elaborados por el Responsable del Tratamiento, en materia de protección de datos personales. 
• Prestar asesoramiento para determinar la necesidad de realizar Evaluaciones de Impacto y Análisis de Riesgo por parte del Responsable del Tratamiento.  
• Actuar como interlocutor y punto de contacto con la Agencia Española de Protección de Datos, y cooperar con la autoridad de control en cualesquiera cuestiones que pudieran afectar al Responsable del Tratamiento, así como intermediario en casos de ejercicio de Derechos ARCO –y demás reconocidos por el RGPD- por parte de cualquier interesado o afectado. 
• Establecer los procedimientos necesarios para la progresiva adaptación del Responsable del Tratamiento, a la nueva normativa nacional en materia de protección de datos, la cual incorpora la mayor parte de las directrices propuestas por el RGPD. 

Certificación de los DPO
 

Por último, es conveniente destacar que se ha establecido un Esquema de Certificación para los DPO, elaborado a través de la colaboración entre la propia AEPD y ENAC (Entidad Nacional de Acreditación). La AEPD ha señalado, que si bien este mecanismo es óptimo para acreditar al DPO respecto a sus aptitudes para desempeñar el puesto, no es la única opción disponible para acceder a dicho cargo. 
A partir de la plena aplicación del RGPD -y por consiguiente, de la nueva LOPD-, comenzaremos a comprobar la incidencia de esta nueva figura en el tejido empresarial, y si verdaderamente representa no solamente un nuevo campo de trabajo, sino también una oportunidad para reforzar la formación, control y seguimiento en materia de protección de datos personales.