Las organizaciones públicas y empresas privadas que manejen información especial estarán obligadas a tener un delegado de Protección de Datos (DPO, por sus siglas en inglés). Así lo establece el nuevo Reglamento de Protección de Datos que armonizará el marco normativo y será aplicado en todos los países de la Unión Europea.
Está previsto que la norma se publique a principios de 2016.
La información aparece en la última versión consolidada de la Propuesta de Reglamento general de protección de datos, que se ha hecho pública a través de la organización no gubernamental State Watch.
Se trata de un documento dirigido por la Presidencia al Comité de Representantes Permanentes a partir de la reunión de este órgano de fecha 9 de diciembre.
Tras años de deliberaciones y dudas al respecto, el Reglamento establece que será obligatoria la contratación de un DPO en diversos casos concretos.
En primer lugar, para todas las organizaciones públicas (a excepción de los tribunales en ejercicio de la potestad jurisdiccional).
En segundo, lugar, se establece la obligatoriedad en determinadas organizaciones privadas, en general aquellas que desarrollen «profilling» o que traten datos de categorías especiales.
En concreto, cuando “las actividades principales del responsable o del encargado consistan en tratamientos que, en virtud de su naturaleza, su alcance o finalidad, requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala”, como por ejemplo en actividades como la solvencia patrimonial, en la investigación de mercados o en controles asociados a la productividad o en el análisis de riesgos.
Asimismo, el DPO será obligatorio también cuando “las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 o de datos relativos a condenas penales y delitos mencionados en el artículo 9 bis”.
Esto es, datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual, y datos relativos a condenas y antecedentes penales.
Por otra parte, hay que destacar que el párrafo cuarto incluye la posibilidad de que esta obligación pueda ser impuesta en otros casos cuando lo disponga el Derecho de la Unión o el del Estado miembro.
“El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto ‘accountable’, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Por otra parte, y sin duda será el interlocutor necesario con el regulador, con la Agencia Española de Protección de Datos, y el colaborador que sin duda la institución necesita”, explica Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP).
Esta Asociación, precisamente, recoge de forma muy positiva esta información, porque consideran esencial la figura del profesional experto en privacidad y protección de datos, también, para dar garantía, confianza y seguridad en el mercado. CONFILEGAL.