El Oficial de Protección de Datos Personales (“DPO”) es una figura clave para las Organizaciones, pues su labor está enmarcada en velar por el cumplimiento de la Regulación de Protección de Datos Personales para así generar confianza y valor competitivo en el mercado.
¿Cómo se comporta la figura del Oficial de Protección de Datos Personales en la región?
Recibir quejas de los titulares, brindar aclaraciones y tomar medidas; recibir comunicaciones de la ANDP y responder adecuadamente; orientar al personal de la organización sobre prácticas de protección de datos; y cumplir con otras funciones asignadas por el Responsable.
La regulación no impone requisitos específicos ni restricciones de nacionalidad para ser DPO, pero todas las organizaciones deben designarlo. La identidad y contacto del DPO deben divulgarse de manera pública, clara y, preferiblemente, en el sitio web del Responsable.
La Ley Orgánica de Protección de Datos Personales establece que el DPO será responsable de asegurar el cumplimiento de las obligaciones legales en protección de datos. Su nombramiento será obligatorio cuando el tratamiento de datos: sea realizado por entidades públicas; requiera un control constante y sistematizado debido al volumen, naturaleza, o finalidad; involucre categorías especiales de datos a gran escala; y, no se relacione con datos de seguridad nacional o defensa reservados.
Para ser DPO se exige: gozar de derechos políticos, ser mayor de edad, poseer un título de tercer nivel en derecho, sistemas de información, comunicación o tecnologías, y tener al menos cinco años de experiencia profesional. Un grupo empresarial podrá designar un único DPO sin conflicto de interés.
Establece que el DPO deberá ser una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones. Adicionalmente, el DPO deberá ser designado por la máxima autoridad directiva o administrativa de la Organización.
Los Responsables del tratamiento podrán designar un DPO que participe en la gestión del tratamiento del dato personal. De manera particular, la figura del DPO será obligatoria para las entidades del sector público. No obstante, para las entidades privadas la designación del DPO no será de obligatorio cumplimiento.