La Unión Europea rechaza al Data

Protection Officer (Delegado Protección

Datos) en el Reglamento de Protección de
Datos.

Aunque en los últimos tiempos el futuro Reglamento de Protección de Datos parece

haberse diluido, ya que casi no hay noticias e información sobre su tramitación, gracias
a @sergiocm (Sergio Carrasco) he tenido acceso a un documento que muestra la
comparativa entre las propuestas planteadas por el Parlamento Europeo y lo que ha
adoptado conjuntamente la Comisión y el Consejo. El documento puede descargarse en
la web de edri, que han publicado al respecto una noticia bajo el título “Laked
documents: European Data Protection Reform is badly broken”. Este título, lo dice todo.

Como bien es conocido, una de las principales novedades que introducía la norma era la
figura del Data Protection Officer, usando para ello la experiencia adquirida por los
DPO de los propios organismos de la Unión Europea, ya que tienen su propia
regulación.

Inicialmente, en la propuesta de Reglamento de Protección de Datos, la figura del DPO

era obligatoria para las Administraciones Públicas, cuando el tipo de tratamientos
requiriesen un seguimiento de los tratamientos y los afectados, y en aquellas empresas
que tuviesen más de 250 trabajadores.

El Parlamento, modificó este último apartado, de manera que la obligatoriedad recaería

en aquellas empresas que en un período de 12 meses realizasen tratamientos que
afectasen a más de 5.000 personas

Pues bien, en el texto consensuado por la Comisión y el Consejo, el Data Protection

Officer pasa a tener un carácter meramente voluntario, tanto para el responsable del
tratamiento como para el encargado del mismo, salvo que exista obligación por la
propia Unión Europea o los Estados miembros.

Es decir, tanto discutir si debe ser obligatorio en función de los tratamientos o de las
personas que trabajen en una empresa, que para eliminar dicha discusión, quitamos
dicha obligatoriedad. De paso, para no ser discriminatorio, también en las
Administraciones públicas, y lo dejamos a la mera voluntariedad, y en su caso, a que la
propia Unión o los Estados miembros lo de decidan. Fin de la discusión.

Asimismo, también se le despoja de lo que formaba parte de su “Estatuto”, y más

concretamente de sus funciones, ya que desaparecen todas las menciones específicas a
asegurar el cumplimiento del Reglamento de Protección de Datos referentes, por
ejemplo, a la privacidad por diseño, por defecto, obligaciones de documentación o la
comunicación de las brechas de seguridad.
También se elimina la obligación de ser nombrado durante un período mínimo de dos
años, e incluso de parte de los requisitos para ser DPO, ya que se exigía una mayor
cualificación en función de los tipos de tratamientos de datos personales (por ejemplo,
en el caso de datos de salud). Fuera todo.

Sus funciones quedarían reducidas a las siguientes:

 informar y asesorar al responsable o al encargado del tratamiento y a los

trabajadores de las obligaciones que les incumben en virtud del presente
Reglamento y del resto de normativa aplicable de los países miembros;

 supervisar el cumplimiento de las políticas del responsable o del encargado del

tratamiento en materia de este Reglamento y de la normativa aplicable de los
Estados miembros, concienciación, formación del personal que participa en las
operaciones de tratamiento, y las auditorías correspondientes;

 aconsejar en relación con los procedimientos de evaluación de impacto de

privacidad;

 supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco

de las competencias del delegado de protección de datos, cooperar con la
autoridad de control a solicitud de esta o a iniciativa propia:

 actuar como punto de contacto para la autoridad de control sobre las cuestiones
relacionadas con el tratamiento.