Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales
La incorporación de un Delegado de Protección de Datos (Data Protection Officer [DPO]) supone un cambio drástico en la legislación:
| Ley 19.628 | Proyecto de Ley de Datos Personales |
|---|---|
| 1) La Ley 19.628 no se refiere a este cargo. 2) La Ley 20.575, que establece el Principio de Finalidad en el Tratamiento de Datos Personales establece que los distribuidores de bases de datos de carácter económico, financiero, bancario o comercial, deben designar a una persona natural para que los titulares puedan acudir ante él. | Es requisito contar con un DPO dentro de los Modelos de Prevención de Infracciones. |
¿Qué es un Delegado de Protección de Datos?
El Delegado de Protección de Datos Personales es quien cumple con la función de informar y asesorar al responsable de datos (así como a los terceros encargados, mandatarios y a los dependientes del responsable) respecto del cumplimiento de la normativa de protección de datos personales.
El Proyecto de Ley no obliga a los responsables a contar con un DPO, pero sí regula expresamente este cargo como una parte esencial de la adopción de un modelo voluntario de prevención de infracciones, lo que trae como consecuencia algunos beneficios para el responsable (p. ej. atenuante de responsabilidad).
Bajo esta regulación, la designación del DPO debe ser competencia de la máxima autoridad directiva o administrativa de la organización, que debe asegurar que se le otorgue la suficiente autonomía y recursos para llevar a cabo su función.
¿Cuáles son las funciones del Delegado de Protección de Datos?
Además de informar y asesorar al responsable, terceros mandatarios, y dependientes del responsable, el DPO tiene la tarea de promover la política que dicte el responsable de datos respecto a la protección y el tratamiento de datos, así como supervisar el cumplimiento de la ley y preocuparse de la formación permanente de las personas que participan en las operaciones del tratamiento de datos.
En el cumplimiento de sus funciones, el DPO debe asistir a los miembros de las respectivas organizaciones en la identificación de los riesgos asociados a la actividad de tratamiento y de las medidas a adoptar para resguardar los derechos de los titulares, así como desarrollar un plan anual de trabajo y rendir cuenta de sus resultados. Es el DPO a quien los titulares pueden acudir, como primera instancia, con cualquier consulta o solicitud respecto de sus derechos relativos a la protección de datos personales.
Por último, el DPO funciona como un punto de conexión entre la respectiva organización para la cual ejerce su función y entre la Agencia de datos personales.
Beneficios de contar con un DPO en la organización
El contar con un DPO, además de los múltiples beneficios asociados al cumplimiento integral de la legislación de datos personales dentro de cada organización, tiene asociada una importante consecuencia en el proyecto de ley de datos personales.
En efecto, se considera como una circunstancia atenuante de responsabilidad el haber cumplido diligentemente los deberes de dirección y supervisión de los modelos de prevención certificados por la Agencia de Protección de Datos; y dado que el DPO forma parte esencial del Modelo de Prevención, su nombramiento es esencial frente a posibles infracciones al momento de determinar el monto de las multas.
Encargado de prevención o Delegado de Protección de Datos Personales
- Supervisa el cumplimiento de la ley y de la política que dicte el responsable, entre otras funciones.
- Designado por máxima autoridad directiva o administrativa del responsable (directorio, socio administrador o máxima autoridad de la empresa). Puede desempeñar otras funciones, siempre que se garantice que no dé lugar a algún conflicto de interés.
- Grupos empresariales pueden nombrar a un único DPO para un mismo grupo de sociedades y empresas.
- Cuenta con autonomía respecto de la administración en materias relacionadas con la ley y se le debe otorgar los medios, facultades y recursos materiales necesarios para la realización de sus labores.
- Designación del DPO debe recaer en una persona que reúna requisitos de idoneidad, capacidad y conocimientos específicos.