El Delegado de Protección de Datos en el RGPD
El 25 de mayo de 2018 es una fecha marcada en rojo de todos los que nos dedicamos a asesorar a las empresas en el cumplimiento de las obligaciones de protección de datos, y es que esa es la fecha en que el Reglamento General de Protección de Datos (“RGPD”), resultará plenamente exigible. El RGPD, vigente desde el 2016 (sí, hace ya dos años), establece nuevas obligaciones para aquellas empresas que tratan datos personales, y cómo no, para los departamentos de marketing que explotan los datos de clientes y posibles clientes a efectos de conocerlos cada día un poco más para ofrecerles servicios y productos más adecuados a sus gustos y preferencias. Tiempo habrá durante el EMBC 2018 para ampliar las novedades, pero en este post quiero centrarme en una figura que genera cierta controversia en el mundo de las empresas y no es otra que la del “nuevo” Delegado de Protección de Datos (DPD).
Antes de entrar en materia, a pesar de que el RGPD es bastante conocido en el mundo empresarial (el bombardeo ha tenido su efecto), pocos conocen que España va a realizar un desarrollo propio del RGPD ampliando y concretado aquellos aspectos que el RGPD deja al arbitrio de los Estados miembros. Estaríamos hablando de una “nueva LOPD”, que actualmente está en fase de proyecto y que a pesar de que la idea era que estuviera aprobada antes del 25/05, algo me dice que no va a ser así. Como digo, esta nueva ley nacional amplía aspectos que la UE ha dejado para los Estados y uno de ellos, en el caso de España, es el de qué tipo de empresas o entidades deben nombrar por ley un DPD.
El caso es que el RGPD únicamente prevé 3 casos en que este nombramiento es obligatorio: (1) Administraciones públicas, (2) Empresas que tratan a gran escala datos sensibles y (3) Empresas que monitorizan a gran escala la actividad de las personas (buscadores, videovigilancia…). Pues bien, el proyecto de LOPD prevé hasta 15 tipos de actividades que, además de las tres previstas en el RGPD, deberán nombrar de forma obligatoria un DPD. Entre dichas actividades se prevé: “las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”. Si este artículo va adelante así, y todo parece indicar que así será, no podemos descartar pues que algunas empresas del sector de marketing se vean obligadas por ley a nombrar un DPD y digo más, si como empresa de marketing tenemos clientes que realicen actividades afectadas por el nombramiento de un DPD (seguros, colegios, centros médicos…) no es descartable que esta obligación no venga por vía legal sino contractual.
¿Qué hace un DPD?
Un DPD realiza las funciones necesarias para que la empresa cumpla con el RGPD: asesorarla legalmente para su cumplimiento, formar a empleados, negociar contratos, atender peticiones de la AEPD o de interesados, ser el punto de contacto si hay incidencias de seguridad… en resumen es la “cara visible” de la empresa en la materia.
¿Quién puede serlo?
El DPD puede ser un empleado o un profesional externo. En todo caso, deberá obtener y mantener vigente el correspondiente certificado acreditativo (válido para tres años). No hace falta que tenga una profesión determinada pero sí que debe tener conocimiento del derecho a la protección de datos.
Estamos hablando pues de una novedad importante y que debería cambiar la forma en cómo las empresas ven el cumplimiento normativo de protección de datos, al contar con una persona concreta y específica para asegurar dicho cumplimiento.
Comentaremos este y otros aspectos del RGPD en el EMBC.
¡Hasta pronto!
No Comments