Hace menos de un año, en mayo de 2018, entró en vigor en España el nuevo Reglamento General de Protección de Datos. A grandes rasgos, la normativa, de aplicación obligatoria, fortalecía la privacidad de los clientes o usuarios en relación a la base de datos de una empresa o compañía, y además servía para imponer distintos deberes que actualmente se deben seguir a rajatabla. Una de estas obligaciones es la contratación, en determinados casos, del llamado Delegado de Protección de Datos (o DPO, en referencia con sus siglas en inglés 'Data Protection Officer'). Los profesionales que se ocupan de dicha profesión, absolutamente nueva, tienen un objetivo muy claro en su lugar de trabajo: encargarse del tratamiento de las obligaciones legales en la materia de protección de datos de la empresa o la entidad respectiva.
Ahora bien, no todas las compañías están obligadas a contratar dicho servicio. En este caso, para esclarecer su tarea y su posible contratación, la Agencia Española de Protección de Datos (AEPD) difundió en su momento una serie de directrices redactadas por el Grupo de Trabajo del Artículo 29, es decir, el órgano formado por las autoridades de todos los Estados y de la Unión Europea en relación con los temas de privacidad.
Existen, pues, tres supuestos casos de designación obligatoria de un DPO: cuando el tratamiento de la información lo elabore una autoridad u organismo público; cuando las actividades principales del responsable o del encargado del tratamiento informativo consisten en operaciones de tratamiento que impliquen un seguimiento regular de los interesados y, finalmente, cuando las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías de datos especiales o de datos personales vinculadas a delitos y condenas.
En lo que se refiere a las llamadas como “actividades principales”, la normativa se refiere básicamente a la actividad primaria, o sea, la actividad fundamental que tiene la empresa o compañía. Un aspecto, por lo tanto, que exime a las empresas donde el tratamiento de los datos sea una función meramente auxiliar.
Un papel muy relevante
La función de un Delegado de Protección de Datos es realmente consistente. De hecho, el propio reglamente le otorga un rol relevante en la empresa hasta el punto de convertirle en una pieza clave de control interno. Tanto es así que el profesional de datos no puede ser despedido ni tampoco debe recibir instrucciones, además de exhibir unos datos de contacto públicos para que cualquier interesado o incluso el propio organismo de supervisión pueda contactar con él o ella de forma ágil y confidencial.