Ha pasado un mes desde que el nuevo reglamento general de protección de datos (GDPR) entrase en vigor y las organizaciones que desarrollan su actividad en alguno de los Estados miembro de la Unión Europea hayan comenzado a aplicar de forma obligatoria el nuevo reglamento. Durante los últimos días, como usuarios, hemos visto como nuestros correos electrónicos se llenaban de emails de distintas empresas informándonos sobre la nueva normativa y sus procesos. En cambio, desde los departamentos de las empresas, la llegada del GDPR ha supuesto una revolución y en muchos casos, aún se están definiendo los procesos y procedimientos de la gestión de los datos personales.

A fin de cumplir correctamente con el reglamento y evitar incurrir en ilegalidades, la nueva normativa define de nuevo un rol en las empresas en el que tal vez no se ha profundizado lo suficiente y que hasta ahora se ha ejercido de forma informal y no oficial en las organizaciones, y es el delegado de protección de datos o DPO (Data Protection Officer), como se conoce por sus siglas en inglés.

El nombramiento de un delegado de protección de datos ya se estableció con la directiva europea del 95. En esos años, el análisis y gestión de los datos era realizado por profesionales con formación en TI en contextos informáticos, personas que comprendían el flujo de datos y obtener resultados.

En la actualidad, la situación ha cambiado y tanto la tecnología como la gestión de datos se han extendido a todas las áreas empresariales y han surgido figuras como el DPO. Hoy, el DPO es la figura de control de la protección de los datos en las empresas, y su perfil abarca desde la faceta más tecnológica, pasando por el derecho o el servicio al cliente.

El GDPR no solo formaliza el rol del DPO, sino que lo hace obligatorio para distintas organizaciones. Por ejemplo, todas las autoridades y organismos públicos necesitarán contar con uno, y aunque hay que definir que entra en esta categoría, es probable que muchas organizaciones pequeñas tendrán la obligación legal de contar con esta figura.

Asímismo, también será obligatorio contar con la figura del DPO en aquellas organizaciones cuya actividad principal requiera de una observación habitual y sistemática de los datos de los titulares a gran escala o si su actividad principal requiere el tratamiento a gran escala de categorías especiales de datos personales como son el origen racial o étnico, creencias religiosas, salud, orientación sexual o condenas e infracciones penales.

Llegados a este punto, surge la pregunta sobre qué se entiende por “actividades principales” y por lo tanto cuando es necesario la figura del DPO. Tras la publicación de la directiva europea del 95 se creó el Grupo de trabajo del artículo 29 (Article 29 Working Party), un órgano consultivo formado por representantes de los reguladores europeos de protección de datos de toda Europa, y en el que la Agencia Española de Protección de Datos es miembro desde sus inicios en 1997.

Entre sus principales misiones se encuentran el asesoramiento y la promoción de la aplicación de la directiva. En este sentido, el Grupo de Trabajo específica que las “actividades principales” no incluyen el tratamiento y procesamiento de los datos personales para fines de recursos humanos, por lo que se aclara que no todas las empresas con empleados contratados deban contar con la figura del DPO.

Asimismo, el GDPR aporta cierta estructura y define algunas de las cualidades y obligaciones que la figura del DPO debe tener dentro de la organización. En su artículo 38, la normativa específica que el delegado de protección de datos debe actuar de forma independiente, no recibir instrucciones de su empleador, tener un conocimiento experto de la ley de protección de datos, recibir los recursos necesarios, no ser despedido por realizar sus tareas y rendirá cuentas directamente al nivel más alto de gestión.

Otra cuestión que muchas empresas y organizaciones se preguntan y que queda reflejado en la nueva normativa es la necesidad de contar con un DPO de manera interna, es decir, que sea un empleado propio de la empresa. El GDPR específica que la figura del DPO se puede externalizar y este mismo desarrollar esta labor para más de una organización. Esto sin duda será de gran ayuda para las empresas de menor tamaño que tengan dificultades para encontrar entre sus empleados a una persona que pueda desarrollar las tareas que implica el rol de DPO.

Asimismo, tanto el DPO como los distintos departamentos dentro de la empresa deben contar con herramientas que faciliten la gestión y control del uso que se hace de los datos. Gracias al desarrollo y las innovaciones tecnológicas, existen soluciones de software de gestión y ERP que permiten automatizar los procesos, lo que favorece su tratamiento, la seguridad de la privacidad de los datos y nos ayudará a las empresas a garantizar que se cumple con el reglamento.

Soluciones como PHC CS ofrece funcionalidades avanzadas especialmente desarrolladas para adaptarse a las necesidades de la empresa y que permiten facilitar el consentimiento del titular de los datos de forma rápida y sencilla, identificar con agilidad los datos para poder modificar, añadir o eliminar datos personales, realizar un registro de uso y actividad de los datos y anonimizar las bases de datos para así mantener la integridad de la privacidad, entre otras funcionalidades.

Visto todo esto, entonces ¿qué ocurre si una organización que debe nombrar a un DPO no lo hace? Teóricamente, una infracción de este tipo podría suponer una multa de "nivel inferior" de hasta 10 millones de euros o el 2% de la facturación global anual. Más allá de las posibles multas, el mayor problema de no contar con un DPO o una persona responsable del cumplimiento de la ley de protección de datos es por un lado, la posibilidad de contribuir y agravar posibles infracciones en las que la empresa esté incurriendo de forma consciente o inconscientemente, y por otro, impedir avanzar e impulsar mejoras organizacionales en un área que será clave en los próximos años.