A continuación recojo las consideraciones que establece el Grupo de Trabajo del Artículo 29 acerca de la figura del DPO, en sus Directrices adoptadas el 13 de diciembre de 2016 y revisadas por última vez el 5 de abril de 2017:
Identificación de tratamiento de datos a gran escala: el Grupo de Trabajo establece unas pautas a la hora de considerar que se está llevando a cabo un tratamiento de datos a gran escala:
- El número de sujetos interesados afectados,
- el volumen de datos o el rango de tipos de datos diferentes que se traten,
- la duración o continuidad del tratamiento y
- extensión geográfica del tratamiento.
Noción de monitorización “regular y sistemática” relativa a la elaboración de perfiles y a la trazabilidad de los interesados en Internet: en la guía se establece que se considerará como regular y sistemática toda observación que se lleve a cabo de forma recurrente tanto en ciertos momentos puntuales como de forma periódica así como si dicho control forma parte de una estrategia de negocio o en el marco de un plan de recogida de datos predeterminada.
Competencias profesionales y nivel de experiencia exigibles al DPO: el DPO debe contar con requisitos competenciales específicos entre los cuales se encuentran (i) conocimientos especializados en Derecho y, en particular, un nivel alto de experiencia probada en materia de protección de datos, (ii) la capacidad para desempeñar las funciones exigibles al DPO por parte del GDPR (principios del tratamiento de datos, derechos de los sujetos interesados, “Privacy by Default and by Design”, notificación de incidentes de seguridad, etc.), (iii) la independencia y transparencia en el ejercicio de sus funciones y (iv) la capacidad de reportar a la Alta Dirección de la compañía. Por el momento no se considera necesaria ningún tipo de certificación pero en todo caso se deberá contar con las aptitudes detalladas anteriormente. No obstante, el Grupo de Trabajo recomienda a las Autoridades de control de los Estados Miembros que promuevan cursos de formación especializada para DPOs.
Funciones del DPO: entre las principales funciones que atribuye el GDPR a la figura del DPO, el Grupo de Trabajo del Artículo 29 destaca (i) la de monitorizar y controlar el cumplimiento de la compañía de lo dispuesto en el GDPR, (ii) el rol fundamental de éste en la realización de Evaluaciones de Impacto relativas a la protección de datos (PIAs), (iii) la de identificar y analizar los riesgos asociados a las operaciones de tratamiento de datos por la naturaleza, alcance, contexto y finalidades de éstas y (iv) la de apoyar al Responsable o Encargado en la creación y llevanza de un registro actualizado de los tratamientos de datos que la realice la compañía.
Recursos necesarios para que el DPO pueda desempeñar sus funciones: tras el nombramiento del DPO la compañía debe facilitar el desempeño de sus funciones garantizando, entre otros aspectos, que: (i) el DPO participe y aporte su asesoramiento en todas las cuestiones relativas a protección de datos que lleve a cabo la compañía,(ii) que se dote de carácter vinculante a las recomendaciones del DPO y (iii) que se notifique de forma inmediata al DPO en caso de que se produzca un incidente de seguridad.
Asimismo, conforme a lo establecido en el artículo 37 de GDPR, el Responsable o Encargado de tratamiento podrá optar entre otras opciones, por externalizar las funciones relativas al DPO y que estas sean asumidas por una empresa especializada externa, así como por nombrar un DPO interno que sea empleado de la compañía y que éste a su vez cuente con el apoyo de una oficina técnica de funciones de DPO que asuma una empresa especializada externa a la compañía.
