5 consejos para contratar un delegado de protección de datos
5 consejos para contratar un delegado de protección de datos.
Una vez que nuestra organización toma conciencia de la importancia del nombramiento de un delegado de protección de datos, pasamos a una fase compleja, que es la de la contratación. Una de las primeras decisiones a las que debemos de enfrentarnos es si el DPO de la empresa será interno o externo. Dicha figura puede causar una gran disrupción en el contexto de la organización, en los procesos de su actividad y en el tratamiento de los datos personales, por ello queremos ofrecerte estos consejos para contratar a un delegado de protección de datos.
Según el Reglamento el DPO se configura como una figura clave y que asume nuevas y cualificadas competencias para asegurar una adecuada implementación de las exigencias del Reglamento en ciertas organizaciones. Por ello, lo que aquí se pretende es ofrecer toda la información necesaria para que, a la hora de tomar la decisión de contratar a un DPO, se haga de la manera más informada posible, mitigando así los riesgos de hacer una incorrecta contratación.
1. ¿Quién designa al DPO | DPD?
Una vez que conocemos cuándo es necesario un DPO, el siguiente paso es su designación. Para ello, según el Reglamento, quién debe de nombrar al delegado de protección de datos es el responsable del tratamiento, el encargado o ambos, en función de quién cumpla con los criterios de designación obligatoria.
La LOPDGDD establece la obligación de comunicar en el plazo de 10 días a la AEPD o a la correspondiente autoridad de control autonómica, la designación, el nombramiento y cese del DPO, tanto en los supuestos de designación obligatoria como en la voluntaria. Para hacer estas notificaciones, la AEPD cuenta con un sistema de notificación electrónica que permite realizar estas comunicaciones de manera más rápida y eficaz.
2. Evitar conflicto de intereses al contratar un DPO | DPD
La figura del DPO puede integrarse en la entidad tanto de forma interna como externa. En este sentido, el RGPD permite a los delegados de protección de datos realizar otras tareas y deberes además de las funciones propias establecidas en el artículo 39 del RGPD. Ahora bien, el responsable o encargado del tratamiento ha de garantizar que las funciones de delegado de protección de datos y cometidos adicionales atribuidos al DPO no den lugar a conflicto de intereses.
Así, entenderemos por conflicto de interés todas aquellas situaciones en las que los intereses privados, sean personales, profesionales o de otra naturaleza, puedan influir en la objetividad de las decisiones que deba de tomar el DPO. Esta ausencia de conflicto de interés está estrechamente ligada con la obligación de actuar de manera independiente, por ello no puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales.
Recomendaciones para evitar el conflicto de interés.
El Grupo de Trabajo sobre Protección de Datos del Artículo 29, en sus Directrices, establece que puede ser recomendable, que los responsables y encargados del tratamiento:
- Determinen los puestos que pueden ser incompatibles con la función de DPO de la empresa.
- Elaboren normas internas a fin de evitar conflictos de interés e incluyan una explicación más general sobre los conflictos de intereses.
- Incluyen salvaguardas en las normas internas de la organización y garanticen que el anuncio de convocatoria o el contrato de servicios sea detallado.
Como norma general, los cargos en conflictos pueden incluir los de alta dirección, pero también con cargos inferiores en la estructura organizativa.
El no cumplimiento puede derivar en sanciones, así, la Autoridad de Protección de Datos de Berlín impuso una sanción de 525.000€ a un grupo empresarial del sector e-commerce retail por un conflicto de interés del DPO.
3. Decidir si será un DPO interno o externo.
La normativa RGPD no exige que el DPO tenga que ser miembro de la organización que requiera de dichos servicios. Por ello, como ya se mencionó, el DPO de la empresa puede ser interno o externo, persona física o jurídica y deberá disponer de autonomía, los recursos necesarios y acceso total a los datos personales y tratamientos para llevar a cabo sus funciones. Así, puede desempeñar sus funciones a tiempo completo o parcial, formar parte de la plantilla o ser un tercero que presta sus servicios por medio de un contrato de servicios. Optar por una estructura u otra va a depender de varios factores como de las necesidades de la organización, de su estructura, de su tamaño, etc.
Ventajas de externalizar un delegado de protección de datos.
Si bien desde el punto de vista de cumplir con la legislación no hay diferencia entre nombrar a un DPO interno o subcontratar este puesto a un tercero externo, es necesario tener en cuenta diversas cuestiones a la hora de elegir a quién se le asigna esta función. Para ello vamos a ver las ventajas de externalizar un DPO.
– Costes de formación: En caso de contratar a un DPO externo, este ya dispone de amplia formación y de los conocimientos técnicos necesarios, evitando los costes de formación de un empleado.
– Conocimiento multisectorial e interdisciplinar: Esta es una de cualidad muy valorable en un DPO y que está garantizada en un DPO externo ya que tiene clientes de diferentes sectores y tamaños. Es muy difícil que esto se consiga con un DPO interno, trabajando para una única organización.
– Disponibilidad: En caso de ausencia o incapacidad del DPO externo, se puede asignar a otra persona con facilidad mientras que el proceso de sustitución de un DPO interno es lento y complicado.
– Responsabilidad: El DPO externo es responsable directo de su labor de asesoramiento, por el contrario, en caso de un DPO interno toda la responsabilidad recae sobre la empresa.
– Objetividad: El hecho de ser ajeno al negocio, hace que asuma una posición más objetiva y recibe una visión más general siendo, por tanto, más difícilmente influenciable.
– Elaboración de documentos: Para un DPO externo esto no supone una gran inversión de tiempo ya que está familiarizado, por el contrario, es probable que un DPO interno tenga que elaborar los documentos partiendo desde cero.
– Costes: Mientras que en un DPO externo los costes son fijos y claros, en un delegado interno quedarán diluidos por los costes empresariales.
4. Comenzar con una auditoría RGPD de la empresa.
El DPO ha de reunir las competencias y habilidades personales que le permitan adentrarse en el contexto de la organización y conocer los procesos de su actividad, ofreciendo soluciones prácticas y funcionales. Por ello, es fundamental que empiece su labor profesional analizando y conociendo a la organización, y qué mejor manera que hacerlo a través de una auditoría.
La auditoría es una de las herramientas fundamentales para comprobar y evaluar el nivel de cumplimiento de la normativa de protección de datos en las organizaciones. En ella se verifican tanto de los tratamientos de datos personales que hace la organización, como las medidas de seguridad técnicas y organizativas implementadas y su eficacia. Al igual que el DPO, dicha auditoría puede ser interna o externa, pero a la vista de las ventajas de externalizar un DPO, es recomendable contratar la auditoría de protección de datos a un servicio externo por la objetividad, independencia y autonomía que brinda este tipo de servicios.
5. Perfil del DPO.
Según el Reglamento, el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones del DPO que le son reconocidas.
Entre las cualidades que le son exigibles al DPO, el Grupo de Trabajo del Artículo 29, reconoce que podrían incluir por ejemplo la integridad y alta ética profesional, capacidades de comunicación, así como, habilidades personales y empatía a la hora de lidiar con situaciones relativas a la gestión de reclamaciones o posibles discrepancias que se puedan producir entre los criterios empresariales y la interpretación normativa.
¿Necesitas un servicio de delegado de protección de datos | DPD?
Si necesitas contratar un servicio de delegado de protección de datos, la mejor opción que puedes encontrar es de la mano de un equipo multidisciplinar y experto en protección de datos. Para ello, en Seifti disponemos de un “Servicio de DPO externalizado” que puede gestionar todos los procesos necesarios para garantizar el cumplimiento normativo en materia de protección de datos.
No Comments