AP-Logo23
AP-Logo23
AP-Logo23

Quién es y qué hace el DPO, Data Protection Officer

DPO
Lee este artículo también en: 🇮🇹 Italiano🇬🇧 Inglés

Competencias, funciones y obligatoriedad del DPO, el Data Protection Officer, figura profesional surgida con la aprobación del GDPR.

La protección de la privacidad es, al menos en las intenciones, uno de los objetivos prioritarios de las instituciones europeas y por ello, la protección de los datos personales se convierte en un elemento central para alcanzar el objetivo. Dentro de esta línea de acción, la figura del DPO, el Data Protection Officer, se ha vuelto central.

Descubramos quién es y qué hace el Responsable de la Protección de Datos personales.

Qué significa DPO o RPD

DPO es literalmente el Data Protection Officer, una figura que en realidad ya tiene un equivalente en italiano: es el RPD, Responsabile della Protezione dei Dati, como nos recuerda el Garante de la Privacidad.

Todos lo conocemos como DPO porque se trata de una figura introducida por el nuevo reglamento europeo para la privacidad (el GDPR, otra sigla).

Esta profesión se incluye plenamente entre los esfuerzos de la Comunidad Europea para la protección de datos personales, entre los cuales precisamente el GDPR, que prevé una serie de normas sobre el tratamiento y la circulación de los datos personales de las personas físicas.

Quién es el DPO y qué hace

Pero entremos en más detalle: ¿quién es el DPO o RPD? ¿Cuáles son sus competencias? ¿Y cuáles son sus tareas?

Según lo dictado por el GDPR, esta figura tiene competencias en materia de normativa (Europea, de las Naciones individuales y de las Internacionales), conocimientos en la gestión de los procesos empresariales y de los flujos de datos dentro de organizaciones incluso complejas y competencias de Seguridad Informática dada la fuerte y casi completa digitalización de los datos. No menos importante, debe estar dotado de absoluta autonomía e independencia en el ejercicio de su actividad. Se trata, por lo tanto, de un consultor, con competencias gerenciales, técnicas y legales de amplio espectro. Puede ser instituido internamente en una empresa o en un ente público (en algunos casos es obligatorio, como veremos), prestando mucha atención a las posiciones incompatibles con el rol y la responsabilidad personal de quien confía el encargo (Titular o Responsable del tratamiento) al hacer una elección que no lo lleve a una “Culpa in eligendo”.  La figura también puede ser externa, como ocurre en la mayoría de los casos, nombrada mediante negocio jurídico.

Tiene un papel "interno", de asesoramiento y supervisión para la organización de la que se ocupa.

Pero el DPO también tiene un papel "externo", es decir, de relación con la Autoridad Garante de la Privacidad. 

La tarea principal del DPO es apoyar a los llamados titulares y responsables del tratamiento de datos personales (más precisamente "Controller y Processor"): en esencia, debe asesorar a estos últimos para que cumplan con las normativas vigentes y utilicen herramientas adecuadas tanto técnicas como organizativas.

El Reglamento europeo especificación en detalle las funciones del DPO en el artículo 39. Aquí hay una lista no exhaustiva:

  • Conocer las disposiciones del Reglamento Europeo GDPR, además de otras normas en materia de privacidad, tanto nacionales como comunitarias, para poder informar a los diferentes miembros de la organización que se ocupan del tratamiento de datos y ofrecerles asesoramiento.
  • Vigilar la implementación tanto del Reglamento GDPR como de las demás normas en la materia por parte de las personas encargadas en la organización de la que forma parte.
  • Cooperar, como se mencionó, con la autoridad que supervisa la implementación de las normas sobre privacidad, en nuestro caso, en Italia con el Garante della Privacy, desempeñando así un papel de coordinación entre la organización y la Autoridad, por ejemplo, en los casos de consulta previa previstos en el artículo 36 del GDPR o de control.
  • Considerar con atención los riesgos inherentes al tratamiento de los datos personales de las personas físicas, también teniendo en cuenta el contexto y los fines en los que se tratan.

DPO y GDPR: cuándo es obligatorio

No siempre la figura del Data Protection Officer es obligatoria para cada tipo de organización. En el artículo 37 del GDPR, la norma europea identifica en qué casos el nombramiento de dicha figura se vuelve imprescindible:

  • Cuando el tratamiento de datos personales es realizado por entidades públicas. Hay una excepción: las autoridades judiciales, en el ejercicio de sus funciones, no están obligadas a nombrar un DPO.
  • En los casos en que el Titular o el Responsable del tratamiento de datos personales de una organización lleven a cabo un monitoreo regular y sistemático de la información personal, a gran escala.
  • En el caso de que dichas actividades de monitoreo regular, sistemático y a gran escala se refieran a información considerada sensible (están previstas en el artículo 9 del GDPR: origen racial/étnico, opiniones políticas, creencias religiosas, datos genéticos o biométricos, datos relativos a la salud o a la orientación sexual, etc.) o que se refieran a información relativa a condenas penales (artículo 10 del GDPR).
  • O para categorías específicas indicadas en el sitio del garante (por ejemplo: empresas sanitarias, aseguradoras, financieras, proveedores de servicios informáticos, sector de las utilities (telecomunicaciones, distribución de energía, gas y otros), sociedades de auditoría contable, etc.

Ven a descubrir la figura del DPO

Assoprovider se reúne en Roma el próximo 15 de junio de 2022, a partir de las 10 horas. El evento, titulado APMPRO22, es un formato itinerante, el Marketplace de nuestra organización. La cita se centrará en las propuestas de socios y no socios de Assoprovider, productores y distribuidores de soluciones para TLC, Seguridad, IoT y Software.

Durante el evento, también será posible profundizar en algunos temas que conciernen a los operadores del sector. En concreto, están previstas intervenciones sobre GDPR y DPO, que serán guiadas por Luigi Perrella, DPO Certificado UNI 11697:2017, Consultor GDPR & It Security, fundador y CEO de Start Up Data Protection, y Fulvio Sarzana di Sant’Ippolito, abogado, experto en derecho de las telecomunicaciones, que apoya a Assoprovider en sus batallas legales.

Para obtener información y registrarse, visite la página dedicada: APMPR022

Vistas de la publicación: 3,507
Netresults S.r.l.
FibreConnect Spa
OHM - Open Hub Med
OPNET Spa
Huawei
SICE Telecomunicazioni
TP-Link
Genexis
DISOTEC Srl
FiberTelecom S.p.a.
Aikom Technology S.r.l
Uania Srl
Peering9 Srl
Smartnet Srl
FlashStart
Evoseed
TedTrip un progetto "spin off" Assoprovider
LabTv
TGlobal S.r.l.

Publicaciones Recientes