Con la entrada en vigor del nuevo Reglamento General de Protección de Datos son muchas las empresas que se podrían ver obligadas a contratar un especialista en protección de datos.
Este nuevo reglamento entra en vigor en mayo de 2018 y en el quedan estipulados diferentes deberes de las empresas en materia de privacidad. Una de estas obligaciones será la contratación de un DPO (data protection officer).
Eso sí, la norma no estipula de manera muy concreta cuáles serían las entidades obligadas a la contratación. En el Reglamento sólo se regula de manera general, las características de aquellas empresas que estarían afectadas, en lugar de clasificarlas por su volumen de datos a tratar o personas afectadas.
Por ello, desde Maser, queremos ayudarle a comprender si su negocio va a necesitar un DPO.
Los tres grandes criterios
Del reglamento, se pueden extraer tres criterios, que en el caso de cumplirse, harían obligatoria la contratación de un DPO por parte de la empresa.
- Que el tratamiento de datos, lo lleve a cabo una entidad pública o autoridad.
- Cuando la actividad del responsable, necesiten un seguimiento regular de estos datos, a gran escala.
- En el caso de que el tratamiento a gran escala de datos de categorías especiales y datos personales de delitos constituya la actividad principal del encargado.
Si la empresa en cuestión se encuentra dentro de alguno de estos supuestos, se verá obligada a contratar a un experto en protección de datos con la finalidad de velar por los derechos de los posibles afectados.
En cuanto al primer criterio, queda muy claro. Pero en los siguientes, vemos conceptos que pueden estar abiertos a interpretación.
Actividad principal: Esto se refiere a que el tratamiento de datos, debe de ser el objetivo principal de esa empresa, un ejemplo claro es una red social, o un hospital, el cual está destinado a prestar servicios de salud, pero necesita el tratamiento de datos para poder funcionar. En cambio, aquellas empresas que tan solo utilicen datos personales de manera auxiliar, no estarían obligadas.
A gran escala: Este criterio, es uno de los más complejos, ya que aun no se ha establecido ningún umbral que permita determinar qué empresas estarían obligadas y cuáles no. Por el momento, solo se puede determinar según la cantidad de personas afectadas, el volumen de datos que se manejan, la duración de la actividad, o el alcance geográfico.
Seguimiento regular y sistemático: El concepto “seguimiento”, se ve claro si pensamos en un perfil en internet, o incluso en la publicidad basada en el comportamiento del usuario. Ambas necesitan un tratamiento habitual de los datos personales.
Por otro lado, “regular” se puede traducir en “continuado”, es decir, el uso de datos de manera recurrente. Y en el caso de “sistemático”, los expertos lo definen como un tratamiento que se hace de manera organizada o metódica, en resumen, que detrás de su uso hay una estrategia.
El papel del abogado especialista en protección de datos
Cada vez son más los datos personales que manejan las compañías y que hacen vulnerables a los consumidores. Ahora gracias a este nuevo Reglamento, se reconoce a los DPO como una figura de gran importancia en las empresas.
Cualquier compañía deberá proveer a su DPO con todos los “recursos necesarios” para que realice su trabajo. Además, no podrá recibir instrucciones, ser despedido o sancionado. Por otro lado, para asegurar que cualquier afectado pueda contactar con el DPO de la empresa, sus datos deberán ser públicos y de fácil acceso. Será obligatorio que además cualquier interesado pueda comunicarse con el abogado de manera confidencial sin interferencias de la compañía.
Vemos pues que se endurece el Reglamento de Protección de Datos, pero siempre en beneficio del consumidor y de la protección de sus datos. Si tiene cualquier duda, no dude en contactar con los expertos de Maser. Resolveremos todas sus dudas.