¿Qué es un DPO o Data Protection Officer?

Con la implementación del Reglamento General de Protección de Datos de la UE (GDPR) dentro de 10 semanas, las organizaciones están luchando para alcanzar el cumplimiento antes de que venza el plazo. La nueva legislación pretende unificar y estandarizar las regulaciones de protección de datos en toda la UE, simplificando los procedimientos de cumplimiento a través de las fronteras y otorgando a los interesados ​​de la UE un nivel de control sin precedentes sobre sus datos personales.

Por primera vez, la privacidad, en su contexto digital, se aplicará legalmente por diseño y por defecto. Las empresas serán responsables de cualquier violación de la privacidad y se aplicarán fuertes multas a los controladores y procesadores de datos que no hayan tomado las medidas adecuadas para proteger la información personal de los sujetos de la UE.

El GDPR trae un cambio significativo adicional a su predecesor: ciertas compañías tendrán que nombrar a un Oficial de Protección de Datos (DPO). ¿Pero cuáles serán sus deberes y qué organizaciones están obligadas a tener? ¡Vamos a averiguar!

¿Qué es un DPO y quién necesita uno?
Un Oficial de Protección de Datos o DPO es un empleado o una entidad externamente contratada designada para tener una responsabilidad formal en el cumplimiento de la protección de datos dentro de una organización. Países como Alemania y Filipinas ya han convertido en una obligación legal para determinados tipos de empresas el nombramiento de un OPD.

Bajo el GDPR, hay tres categorías de organizaciones que están obligadas a nombrar un DPO:

autoridades públicas (a excepción de los tribunales que actúan en su capacidad judicial);
empresas que llevan a cabo un seguimiento sistemático a gran escala de personas;
empresas que llevan a cabo el procesamiento a gran escala de categorías especiales de datos (salud, género, religión, etc.) o datos relacionados con condenas y delitos penales.
En Alemania, las leyes de protección de datos existentes exigen que todas las empresas con diez o más empleados procesen datos personales de forma permanente para designar a un DPO. Bajo el GDPR, no hay tales especificaciones. Lo que esto significa esencialmente es que incluso las pymes con menos de 10 empleados pueden tener que nombrar a un DPO. En un contexto digital, esto tiene sentido: una startup de tres personas puede desarrollar una aplicación exitosa que procesa la información de millones de usuarios en toda Europa.
Mientras que el Grupo de Trabajo del Artículo 29 (WP29) alienta a todas las empresas a designar a un OPD como una buena práctica y demostrar el cumplimiento, vale la pena tener en cuenta que una vez que una empresa designa un OPD, incluso voluntariamente, está obligado a cumplir con el rango completo de requisitos de DPO que figuran en el GDPR.

Deberes de un DPO
Los deberes de una OPD se enumeran en el Artículo 39 de la GDPR e incluyen, entre otros:

Monitoreo del cumplimiento de la GDPR y otras leyes nacionales de protección de datos, así como de las políticas instaladas por los controladores o procesadores para la protección de datos personales
Realización de auditorías internas para garantizar el cumplimiento
Concienciar a la empresa sobre los requisitos de cumplimiento
Capacitar al personal involucrado en las operaciones de procesamiento
Actuando como un enlace entre la organización y las autoridades de supervisión
Gestión de actividades internas de protección de datos y asesoramiento sobre evaluaciones de impacto de protección de datos
Los empleados nombrados internamente o recién contratados como OPD, ya sea que desempeñen funciones adicionales o no, deben mantener su independencia en el cumplimiento de las obligaciones de las OPD y no ser penalizados o despedidos por realizar sus tareas. Las empresas no deben instruirlos sobre cómo desempeñar sus funciones o interpretar la ley de protección de datos y deben proporcionar a las OPD los recursos adecuados para garantizar el cumplimiento de la GDPR. Las OPD también deben informar directamente al más alto nivel de gestión.

¿Quién puede ser un DPO?
Con el vencimiento de la fecha límite de GDPR, las empresas pueden sentir cierto alivio al descubrir que pueden designar un OPD internamente o contratar uno externamente. GDPR permite a las OPD "cumplir otras tareas y deberes", lo que significa que pueden ocupar varios puestos, pero no debe existir un conflicto de intereses entre estas actividades adicionales y sus deberes formales como OPD. Las posiciones senior de nivel C en este caso probablemente entren en conflicto con las obligaciones de DPO.

El GDPR no menciona las credenciales precisas que debe tener un DPO, pero en las Directrices para los Agentes de Protección de Datos publicadas por el Grupo de Trabajo 29, se establece que las OPD deben comprender cómo crear, implementar y administrar los programas de protección de datos. Del mismo modo, las OPD no están obligadas a ser abogados, sino que deben ser expertos en legislación nacional y europea de protección de datos y tener un conocimiento profundo del GDPR. Las OPD también deben tener un nivel adecuado de comprensión de la estructura técnica y organizativa de la organización, la seguridad de los datos y las tecnologías de la información. En conclusión Mientras que las empresas pueden tener la tentación de designar a un DPO, ya sea que lo necesiten o no, pueden buscar un ganso de oro: la búsqueda de trabajo Indeed en Gran Bretaña registró un aumento del 700% en las listas de empleos de DPO en los últimos 18 meses. Un estudio de la Asociación Internacional de Profesionales de la Privacidad (IAPP) descubrió que más de 28,000 OPD necesitarían ser nombrados solo en Europa para cumplir con el GDPR. Los especialistas en protección de datos son aves raras en el mercado de trabajo en el momento presente, aunque sin duda la gran cantidad de programas de capacitación que han surgido desde que se anunció por primera vez la GDPR seguramente producirá una nueva generación de expertos.

Fuente: Endpointprotector