¿Qué responsabilidad tiene el DPO?
El DPO no es personalmente responsable en caso de incumplimiento del RGPD, sino que es la entidad quien está obligada a aplicar las medidas apropiadas para garantizar y ser capaz de demostrar que los tratamientos se realizan de conformidad con la Normativa sobre Protección de Datos, aunque si la organización recibe una sanción que sea derivada de negligencia o dolo del DPO, esto puede suponer la correspondiente responsabilidad contractual.
¿Cuál es la posición del Delegado de Protección de Datos en una entidad?
La entidad debe garantizar:
- La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales y en reuniones con los cuadros directivos altos y medios, rindiendo cuentas directamente al más alto nivel jerárquico de la organización, recibiendo siempre apoyo activo en su labor por parte de la Alta dirección.
- Que esté presente cuando se toman decisiones con implicaciones para la protección de datos.
- Recibir el apoyo de la entidad, que deberá facilitarle los recursos y medios necesarios y tiempo suficiente para el desempeño de sus funciones, su opinión debe tenerse siempre en cuenta.
- Se consultará al DPO con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
- El DPO estará obligado al deber de secreto y confidencialidad en el ejercicio de sus funciones.
- No recibirá ninguna instrucción respecto al desempeño de su trabajo y no será destituido ni sancionado por causas relacionadas con el desempeño de funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, es decir, podrá realizar sus tareas con el suficiente grado de autonomía e independencia.
¿Puedes ser el DPO cualquier empleado o gerente de una empresa?
El DPO no podrá entrar en conflicto de intereses con otras posibles funciones y obligaciones, por lo que no podrá ocupar un cargo de alta dirección u otro cargo inferior en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales, como un puesto de alta dirección (como director general o gerente, director de operaciones, director financiero, jefe de recursos humanos o director del departamento de TI).
¿El delegado de protección de datos puede ser interno o externo a la entidad?
El DPO podrá formar parte de la plantilla de la entidad a tiempo completo o parcial (normalmente suele darse en entidades de gran tamaño) o podrán contratarse externamente sus funciones en el marco de un contrato de servicios con una empresa privada especializada (circunstancia que suele ser habitual en medianas y pequeñas entidades).
¿Por qué es importante que el DPO tenga un perfil jurídico?
El DPO será designado atendiendo a sus cualidades profesionales y a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
- Conocimientos especializados y formación relacionada con el Derecho: profunda comprensión sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y del sector empresarial, de la entidad y de las operaciones de tratamiento que se llevan a cabo.
- Cualidades profesionales: acordes con la sensibilidad, complejidad y cantidad de los datos que trata una organización, capacidad de comunicación, conocimiento de idiomas, de gestión de riesgos, gestión de equipos y liderazgo.
- Capacidad para desempeñar sus funciones: debe tener una serie de cualidades personales como la integridad y un nivel elevado de ética profesional, habilidades personales y de negociación, empatía.
