A partir del 25 de mayo de 2018, se aplicarán dos nuevas normas en materia de protección de datos: el reglamento europeo y la nueva Ley Orgánica de Protección de Datos (aunque actualmente está en trámite).

Dicha normativa prevé el nombramiento de una nueva figura: el delegado de protección de datos (DPO). Se trata de una persona que se encargará de informar y de asesorar a la empresa sobre las obligaciones que le incumben en protección de datos, así como de supervisar su cumplimiento y actuar como interlocutor ante la Agencia Española de Protección de Datos (AEPD).

Empresas obligadas: 

No todas. No todas las empresas deberán nombrar a un DPO: sólo deberán hacerlo aquellas que traten datos especialmente protegidos a gran escala. Por ejemplo: empresas financieras, centros sanitarios, aseguradoras, centros docentes, empresas de seguridad privada…

Las empresas que no cumplan los requisitos indicados también pueden nombrar voluntariamente a un DPO. En tal caso, se les aplicará el mismo régimen que cuando el nombramiento del DPO es obligatorio.

Designación del delegado: 

Elección. Si una empresa está obligada a nombrar a un DPO, puede designar tanto a un trabajador de su plantilla como a un externo. 

En todo caso:

Una vez elegido el DPO, la empresa deberá comunicar sus datos a la AEPD. El DPO no puede ser cualquier persona. La norma exige que tenga conocimientos jurídicos y prácticos sobre protección de datos.

Tipo de trabajador: 

Conocimientos y cargo de confianza. Si la empresa opta por designar como DPO a un trabajador de su plantilla, éste deberá tener conocimientos técnicos y experiencia en protección

de datos. Además, en la práctica la empresa deberá facilitarle los recursos necesarios para desarrollar sus funciones. Debe tratarse de un empleado con un cargo de especial confianza en la empresa.

Protección especial: 

El DPO no podrá ser sancionado ni despedido por llevar a cabo su trabajo como delegado de protección de datos, salvo si incurre en negligencia grave o dolo. La norma no equipara esta figura a un representante de los trabajadores. Es decir, el DPO no dispondrá del resto de las garantías que tiene dicho colectivo (derecho de opción en caso de despido improcedente, prioridad de permanencia ante determinadas medidas…). Así pues, sí que se los puede despedir o sancionar si la empresa acredita que han cometido una infracción laboral (igual que ocurre con cualquier trabajador, e incluso con los representantes de los trabajadores).

Nombramiento por escrito:

Es recomendable que el nombramiento quede reflejado por escrito, dado que dicha designación se debe comunicar a la AEPD. En el propio documento se puede incluir una cláusula que regule el deber de confidencialidad del designado e incluso la empresa puede redistribuir sus funciones por el nuevo puesto.

Nueva contratación:

Certificación. La AEPD ha promovido un sistema de certificación para garantizar que una persona tiene conocimientos sobre protección de datos y puede ejercer de DPO. Por tanto, si una empresa contrata a un nuevo trabajador para ser DPO, puede ser interesante buscar a un candidato que disponga de dicha certificación. Esta certificación tiene una validez inicial de tres años, y después se debe ir renovando.