Gimeno Compliance

¿Es obligatorio contratar a un director de protección de datos?

La nueva normativa exigirá que, a partir del 25 de mayo, los organismos públicos y las empresas que usen sistemáticamente información personal cuenten con la figura de un delegado de protección de datos.
16.05.2018
Por: Expansión
S.Saiz/V.Moreno

 

¿Quién debe encargarse dentro de una empresa de las nuevas exigencias en materia de protección de datos? A partir del 25 de mayo, tras la entrada en vigor del nuevo reglamento de protección de datos (RGPD), la compañía será la que responda ante cualquier posible infracción. Sin embargo, puede delegar determinadas funciones y obligaciones en alguno de sus trabajadores o bien apostar por crear una nueva figura: responsable o delegado de protección de datos (DPD).

Esta figura laboral resultará necesaria para muchas compañías, puesto que el texto legal insiste en su obligatoriedad para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles. También afecta a los centros docentes, operadores de telecomunicaciones, entidades financieras, compañías de publicidad y prospección comercial, centros sanitarios, operadores de juego y empresas de seguridad privada, entre otras.

Pero, ¿qué requisitos debe cumplir un profesional para ocupar este cargo? ¿existe algún perfil concreto a la hora de contratar un director de protección de datos?

Certificación

La Agencia Española de Protección de Datos (AEPD) lleva tiempo allanando el camino y resolviendo muchas de las dudas generadas por el RGPD, como ocurre con los responsables de protección de datos. De hecho, en julio de 2017, la autoridad nacional presentó, junto a la Entidad Nacional de Acreditación (ENAC), el primer esquema de certificación de DPD y, a principios de año, emitió la primera autorización a ANF AC, que podrá certificar la idoneidad de todos los expertos que aspiren a ser delegados de protección de datos.

Para que las autoridades acreditadas puedan certificar que un trabajador es adecuado, éste deberá ser capaz de recabar información para determinar las actividades de tratamiento; analizar y comprobar la conformidad de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al encargado del tratamiento.

También tendrá que asesorar en la aplicación del principio de la protección de datos por diseño y por defecto; aconsejar si se debe llevar a cabo o no una evaluación de impacto de protección de datos y qué metodología debe seguirse al efectuar este tipo de valoración. Por otro lado, deberá ser capaz de recabar información para supervisar el registro de las operaciones de tratamiento; así como priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos.

Requisitos

Además de todas estas capacidades, según explica la AEPD en su esquema de certificación, todos los que estén interesados en lanzarse en esta nueva aventura laboral y tratar de acceder a la fase de evaluación, deberán cumplir alguno de los siguientes requisitos: justificar una experiencia profesional de, al menos, cinco años en proyectos o actividades relacionadas con las funciones del DPD en materia de protección de datos.

Otros requisitos pasan por tener una experiencia demostrable de, al menos, tres años en proyectos o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del esquema; acreditar una experiencia profesional de, al menos, dos años en proyectos o actividades y tareas relacionadas con las funciones del DPD, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa; o, por último, justificar una formación mínima reconocida de 180 horas en relación con las materias del programa del texto elaborado por la AEPD.