Nuevo reglamento de protección de datos: ¿qué es un delegado de protección de datos?

Sofía Riesco

Esta figura se encarga de garantizar el cumplimiento de la normativa de protección de datos en las organizaciones. No se requiere una titulación específica ni certificación, pero tenerlas facilita la contratación de este perfil.

El Reglamento General de Protección de Datos tiene como objetivo asegurar la protección de datos personales e información relativa a las personas físicas. Esta normativa europea afectará especialmente a las empresas, que podrán contar con un delegado de protección de datos que verifique se está cumpliento con la ley, realice auditorías y prevenga posibles sanciones. Esta figura deberá tener conocimientos de la legislación de protección de datos, y una formación adecuada a su función. Repasamos en qué consiste el reglamento, la figura del delegado y cómo puedes formarte para trabajar de ello.


· ¿Qué es el nuevo Reglamento General de Protección de Datos (RGPD)?

El Reglamento General de Protección de Datos entró en vigor en todos los países de la Unión Europea en mayo de 2018, y es una normativa que tiene prioridad sobre todas las leyes nacionales. En el caso de España, el RGPD sustituirá a la Ley Orgánica de Protección de Datos (LOPD). Actualmente la Agencia Española de Protección de Datos está trabajando para tramitar una nueva ley orgánica para derogar la LOPD, así como cualquier otra disposición de igual o inferior rango que contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD.

Hasta ahora, la Directiva 95/46/CE era la normativa europea que regulaba el tratamiento de los datos personales de las personas físicas, y que cada país comunitario aplicaba mediante sus leyes nacionales. Sin embargo, con la implantación del RGPD, será éste el que sirva de referencia a los responsables del tratamiento de datos, y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento. Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones, entre las que destacan dos:

1. El principio de responsabilidad proactiva: el responsable del tratamiento de datos deberá aplicar medidas técnicas y organizativas apropiadas con el fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Tras este paso, se debe determinar de forma explícita de qué manera se aplicarán las medidas que prevé el RGPD. De este modo, las organizaciones tienen una actitud consciente, diligente y proactiva.

2. El enfoque de riesgo: las medidas dirigidas a garantizar el cumplimiento del Reglamento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que establece el RGPD se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. De este modo, la aplicación de las medidas se adaptarán a las características de las organizaciones.


· ¿Qué es y qué hace el delegado de protección de datos?

El Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés, Data Protection Officer) es una figura que necesitarán muchas organizaciones con el nuevo RGPD. Se ocupa de la aplicación de la legislación sobre privacidad y protección de datos, y no necesita ningún tipo de titulación y tampoco tiene que estar certificado.

Entre las funciones que realiza se encuentran:

a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento.
b) Supervisar el cumplimiento de lo dispuesto en el Reglamento y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
c) Supervisar la asignación de responsabilidades.
d) Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento.
e) Supervisar las auditorías correspondientes.
f) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
Será una persona encargada de recabar y analizar información, asesorar y emitir recomendaciones al responsable de tratamiento de datos, o supervisar el registro de operaciones de tratamiento. Además, el DPD deberá reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos.

Es una figura con la que obligatoriamente deberán contar todas las organizaciones públicas, las entidades que analicen características psicológicas y del comportamiento de las personas, empresa que monitoricen datos a gran escala de forma periódica, y compañías que trabajen con datos como etnia, ideología u orientación sexual, entre otros.

Otras entidades que deberían tenerlo serían las aseguradoras, distribuidores y comercializadores de energía eléctrica o gas natural, sistemas de información crediticia, entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles, centros sanitarios, centros docentes que ofrezcan enseñanzas regladas, universidades, colegios profesionales y sus consejos generales y entidades dedicadas al juego online.

· ¿Cómo certificar a los profesionales de protección de datos?

A pesar de que no es obligatorio estar certificado como DPD, estarlo facilita la contratación de este perfil. Por eso, la Agencia Española de Protección de Datos ha elaborado un sistema para certificar que los responsables de protección de datos reúnen los conocimientos y cualificaciones adecuadas para ejercer como Delegado de Protección de Datos. Para ello, se deberá cumplir alguno de los siguientes requisitos:

- Justificar una experiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos.
- Justificar una experiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema.
- Justificar una experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema.
- Justificar una formación mínima reconocidas de 180 horas en relación con las materias incluidas en el programa del Esquema.

Se computarán igual las horas de formación, ya sean online o presenciales, siempre que se cumplan el resto de requisitos de formación establecidos. Se valorará toda la experiencia adquirida, tanto anterior como posterior a la publicación del RGPD (25/5/2016) y realizada a escala nacional y en la Unión Europea. Las entidades de formación solicitarán a las de certificación el reconocimiento de los programas de formación que imparten de acuerdo con los criterios y el procedimiento establecidos en el Anexo I del Esquema.

Esta certificación se realizará a través de un examen, que evaluará los conocimientos teórico-prácticos de un solicitante para realizar funciones de Delegado de Protección de Datos. El examen se compondrá de 150 tipo test de respuesta múltiple, siendo necesario para su aprobación haber superado el 75%. Del total de cuestiones, 30 preguntas describirán un escenario práctico (de carácter normativo, organizativo y/o técnico) sobre el que versará la pregunta. El examen se compondrá de tres bloques, y será necesario aprobar el 50% de cada uno. La duración será de cuatro horas.

Esta certificación no es obligatoria para trabajar como DPD, pero la Agencia considera necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD.

· ¿Quién certifica a un Delegado de Protección de Datos?

Las únicas entidades que pueden certificar delegados de protección de datos son aquellas que han sido acreditadas por Entidad Nacional de Acreditación (ENAC) conforme a la norma UNE-EN ISO/IEC 17024:2012 y en el ámbito de la aplicación del Esquema de Certificación de Delegados de Protección de Datos. Las entidades interesadas en obtener la acreditación para certificar DPD deben ponerse en contacto con ENAC.

Las entidades acreditadoras (EC) serán las encargadas de convocar, realizar y evaluar los exámenes de los aspirantes a Delegados de Protección de Datos, que deberán presentar una solicitud para presentarse al examen, su currículum vitae, la documentación justificativa del cumplimiento de los prerrequisitos y la justificación del abono de la tasa correspondiente. Tras superar el examen, la EC concederá la certificación a los candidatos que hubieran obtenido el resultado de “apto". A cada persona certificada se le asignará un número identificativo intransferible y que será utilizado en el futuro para su identificación.

Esta certificación tendrá una validez de tres años, que deberá renovarse cumplido este plazo justificando que se ha recibido un mínimo de 60 horas de formación, o que se tiene un año de experiencia en funciones similares.

Actualmente algunas de las entidades de certificación acreditadas o en proceso de acreditación para expedir certificados de Delegados de Protección de Datos de conformidad con el Esquema AEPD-DPD de la Agencia son: Ivac Instituto de Certificación, ANF Autoridad de Certificación, Asociación Española para la Calidad o AENOR Internacional.

· Cursos de Delegado de Protección de Datos

Si no tienes experiencia previa en este sector, y nunca has recibido formación relacionada con la protección de datos, puedes formarte realizando un curso por tu cuenta. En Formazion encontrarás cursos de Delegado de Protección de Datos que se pueden cursar de manera online.

Publicidad