Con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD) por el Consejo y el Parlamento Europeo el pasado 14 de abril, se ha hablado mucho de la creación de la figura del delegado de protección de datos (en inglés, Data Protection Officer, DPO). Esta figura es nueva en España pero tiene ya un largo recorrido en otros países de la Unión Europea.
Se define al DPO como “una persona responsable dentro del responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo” (traducción no oficial del original en inglés).
Considerando lo anterior, podría decirse que el hecho de que no se restrinja quién pueda ser DPO no significa, sin embargo, que pueda ser cualquiera. Queda claro que el RGPD quiere que el DPO tenga un perfil jurídico, estableciéndose expresamente en el apartado 5, del artículo del artículo 37, que “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”
Destrucción confidencial de documentos Mallorca
Son varias las razones por las que cabe plantear que el DPO tiene que tener un perfil jurídico, sin perjuicio de que, según las características de cada responsable y/o encargado del tratamiento obligado a designarlo, pueda ser parte de un equipo con otros profesionales de diverso perfil (seguridad, relaciones públicas, etc.).
Entre dichas razones, quizás la principal es que estamos ante un derecho fundamental que, especialmente en los casos en los que el tratamiento de los datos personales representa un riesgo para la persona, requiere tener una formación jurídica que permita evaluar el mismo y dar respuestas ante todas las partes interesadas, ya sean el propio responsable o encargado del tratamiento, la autoridad de protección de datos u otras autoridades competentes.
En definitiva, dadas las funciones el DPO y el objetivo último del RGPD, éste debe tener un perfil jurídico dado que se trata de asegurar la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
