Siguiendo con nuestro análisis del Data Protection Officer, hoy nos centraremos en las cualidades profesionales que debe tener y cuál ha de ser su relación con el responsable y encargado de tratamiento.
¿Qué titulación debe tener el DPD/DPO?
Realmente el RGPD no exige al DPO ninguna titulación específica, pero si deja claro que para designarlo habrá que atender a su capacitación técnica y experiencia profesional, y en particular a sus conocimientos especializados en derecho, y la práctica en materia de protección de datos. Además, será imprescindible que tenga la capacidad de desempeñar las funciones a las que hace referencia el art. 39 RGPD, que analizaremos en nuestro próximo artículo.
Según ha manifestado la AEPD en su Guía RGPD para Responsables de Tratamiento, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de la actividad de la organización en la que el DPD desempeña su tarea.
Como bien ha expuesto el GT29, el nivel de conocimiento debe ser acorde con el carácter “sensible, la complejidad y la cantidad de datos que procesa una organización”. Por ejemplo, existe una gran diferencia dependiendo de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si dichas transferencias son ocasionales.
Si bien la AEPD ya ha manifestado su negativa al establecimiento de un sistema de oposición para acceder a la profesión, en la ya citada Guía para Responsables de Tratamiento, informa de que se ha optado por promover un sistema de certificación de profesionales de protección de datos, como herramienta que sirva para evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. No obstante, es importante saber que esta certificación no será un requisito indispensable para el acceso a la profesión, ya que responsables y encargados pueden tomar en consideración otras cuestiones o medios para demostrar la competencia de los DPD.
¿Debe el DPD mantener una relación laboral con responsables o encargados?
La respuesta a esta pregunta debe ser no, puesto que el propio RGPD establece que el DPD podrá formar parte de la plantilla del responsable o del encargado del tratamiento, o desempeñar sus funciones en el marco de un contrato de servicios. Es decir, permite que pueda contratarse el servicio de DPD con personas físicas o entidades ajenas a la propia organización.
En el caso de que sea una empresa externa la que desempeñe la función de DPD, es importante y muy recomendable asignar de forma clara las tareas dentro del equipo externo, así como nombrar a un responsable, que actuaría como contacto principal con responsable o encargado de tratamiento.
A este respecto, el GT29 ha manifestado que es importante que cada miembro del equipo externo de DPD cumpla con todos los requisitos pertinentes que establece el RGPD.
En todo caso, de acuerdo con el considerando 97, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Para ello, es necesario que responsables y encargados garanticen que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones (art. 38.3).