¿Debe mi empresa crear obligatoriamente el puesto laboral de Data Protection Officer (DPO) con independencia de cuál sea su naturaleza y sus actividades?

La Respuesta es muy clara y es ¡No!, pero avancemos sobre el desarrollo de la norma.

El nuevo Reglamento Europeo 2016/679 no obliga a todo tipo de empresas a contar con dicho puesto laboral, sino que explicita detalladamente aquellas entidades en las que sí será preceptivo dicho nombramiento.

No obstante, el nuevo Reglamento Europeo y las propias Autoridades de Control consideran altamente recomendable la designación con carácter voluntario del DPO en la mayoría de entidades.

Bien por el simple hecho de que esta designación facilitará el cumplimiento de la normativa, bien por el aumento abismal de las cuantías de las sanciones que podrán imponerse a las empresas por las Autoridades de Control (hasta veinte millones de euros en los casos más flagrantes), o bien por la existencia de una mayor concienciación y reivindicación de los interesados sobre sus derechos.

 En definitiva, porque podrá constituir una ventaja competitiva frente al resto de entidades.

El Nombramiento del Data Protection Officer

Así, según el Reglamento Europeo, las empresas estarán obligadas imperativamente al nombramiento de un DPO cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales de la empresa responsable de los datos personales consistan en tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales de la empresa responsable de los datos consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Por lo tanto, el resto de empresas que no encajen en ninguna de las descripciones enunciadas, podrían optar por dos alternativas:

  1. Proseguir con su dinámica actual en el tratamiento de datos, sin contar con un DPO.
  2. Considerar la implantación del cargo de DPO en la empresa a corto, medio o largo plazo.

cumplimiento normativo en la protección de datosEvidentemente, a los ojos de los expertos, resultaría mucho más conveniente optar por la segunda vía, ya que el iter legislativo sigue una corriente renovadora en materia de protección de datos que se caracteriza por una salvaguarda cada vez más férrea de este derecho fundamental.

En definitiva, la evolución en este campo pretende ser garantista y potenciar los mecanismos de prevención de la comisión de ilícitos empresariales que perjudiquen a los titulares de datos, del mismo modo que se lleva a cabo en otras áreas relacionadas, como por ejemplo, en el órgano de Compliance.

En Atea Compliance, realizamos cualquier acción de consultoría jurídica en el ámbito de la aplicación normativa de la Ley Orgánica de Protección de Datos (LOPD) y de la necesaria adaptación al Nuevo Reglamento Europeo de Protección de Datos (GDPR- General Data Protection Regulation). Podemos ayudarte a la implantación de la norma y adaptación de la empresa a la misma y evitar a si las sanciones que pueden alcanzar hasta los 10 millones de Euros.