La empresa IVAC-Instituto de Certificación S.L., alojada en el Parc Científic de la Universitat de València, es una de las cuatro empresas autorizadas por la Agencia Española de Protección de Datos para emitir los certificados de la nueva figura del Delegado de Protección de Datos.
Este cargo, conocido popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del nuevo Reglamento Europeo de Protección de Datos que entrará en vigor el próximo 25 de mayo. Su función será la de garantizar el cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control.
Según el Reglamento Europeo 2016/1979, el DPO será obligatorio para autoridades y organismos públicos; entidades que requieran observación habitual y sistemática de interesados a gran escala; entidades que traten con categorías especiales de datos (art.9) y aquellas que manejen datos relativos a condenas e infracciones penales (art.10).
"No obstante, a la espera del texto definitivo de la Ley de Protección de Datos, que se actualizará atendiendo al reglamento europeo, otras empresas podrán tener también la obligación de contar con un Delegado de Protección de Datos. Podrán ser colegios profesionales; centros docentes; prestadores de servicios en la sociedad de la información que tratan a gran escala con perfiles de usuarios; aseguradoras; y entidades responsables de ficheros comunes para la gestión y prevención del fraude, ente otros", ha explicado Sandra Ausell, técnica jurídica de IVAC y evaluadora del certificado de DPO.
Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos ha impulsando junto con Entidad Nacional de Acreditación (ENAC) un esquema de certificación como Delegado de Protección de Datos, que en estos momentos pueden emitir cuatro empresas españolas, entre ellas la valenciana IVAC.
La AEPD demanda proactividad
En esta línea, Sandra Ausell especifica que “si bien esta certificación como DPO es totalmente voluntaria y para su ejercicio no es necesario poseerla, el hecho de obtenerla supone una garantía tanto de la competencia profesional definida por la Agencia. También es recomendable para poder demostrar la proactividad llevada a cabo por la empresa a la hora de elegir a su delegado”.
IVAC tiene previsto lanzar la primera convocatoria de examen de certificación de futuros DPO el próximo 9 de junio. Los candidatos deberán cumplir al menos uno de estos requisitos:
• 5 años de experiencia en funciones de protección de datos
• 3 años de experiencia y una formación reconocida de 60 horas en materias objeto del esquema de la AEPD
• 2 años de experiencia y 100 horas de formación reconocida en materias objeto del esquema de la AEPD
• 180 horas de formación en materias objeto del esquema de la AEPD en el caso de que no disponga de experiencia
Al respecto de estos condicionantes, Ausell subraya que "no es válida toda la formación realizada en materia de protección de datos, sino solo aquella que cumpla con los requisitos establecidos en el esquema de la AEPD; es decir, la formación debe cubrir todas las materias del programa establecido en el esquema así como la distribución horaria establecida en el mismo, debe ser teórica y práctica y su acreditación no consistirá en la mera presencia en el curso, sino que debe aprobarse un examen”. "Si bien la experiencia puede haber sido adquirida con anterioridad a 2016, la formación debe haberse desarrollado a partir del año 2016, momento en que se ha desarrollado el esquema", remarca la técnica jurídica.
El examen de certificación
Por lo que respecta al examen de certificación del DPO, este consistirá en 150 preguntas tipo test con cuatro opciones de respuesta y una única opción correcta. Para aprobarlo, se deberá superar el 75% de las preguntas del examen, lo que corresponde a la obtención de 113 puntos en el mismo.
El DPO podrá ser interno o externo a la organización, empresa o entidad; pero sí, en todo, caso persona física o jurídica especializada en esta materia. Requieran o no la figura del DPO con la aplicación del nuevo RGPD, todas las organizaciones, empresas y entidades deberán haber mostrado a la Agencia Española de Protección de Datos una actitud consciente, diligente y proactiva por lo que respecta a los tratamientos de datos personales que lleven a cabo.