¿Cómo puedo acreditarme como Data Protection Officer o DPO?

Con la próxima entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo en materia de protección de datos personales, se introduce un nuevo sujeto en el tratamiento de datos personales, el Data Protection Officer o DPO, por esto vamos a ver cuáles son los requisitos DPO, experiencia DPO necesaria y cómo obtener el certificado DPO 

Data Protection Officer al ser una nueva figura, ha llevado a la creación de nuevos puestos de trabajo en muchas empresas. Y hablamos a nivel europeo.

Esta figura ha suscitado bastante confusión. Muchas personas con o sin experiencia previa en protección de datos, desconocen actualmente cuales son los requisitos necesarios para optar a esta acreditación. Y quieren hacerlo. Y para esto se ha creado este artículo. Si estás interesado en realizar un curso en LOPD, ¡estás en el sitio adecuado!

Sin embargo, no sería lógico proceder a enumerar los prerrequisitos sin explicar previamente  otros aspectos. Estos son, qué es un DPO y cuáles son las funciones inherentes a éste. Además, de los supuestos en los que será obligatoria su designación.

Concepto de Data Protection Officer y supuestos de designación obligatoria.

Este sujeto será el  encargado de garantizar que se cumpla con las disposiciones legales vigentes. Claramente, estas son en materia de protección de datos en el seno de la organización. Deberá tener conocimientos legales y técnicos en materia de protección de datos. Asimismo, prestará sus servicios de forma interna o externa y podrá ser una persona física o jurídica.

Por otro lado, cuando hablamos de "forma interna", hacemos referencia a que éste forme parte de la plantilla del responsable o encargado del tratamiento, e incluso que desempeñe sus funciones en el marco de un contrato de servicios.

Curso Superior en Protección de Datos para Centros Educativos Más información

En el artículo 37 del RGPD, podemos encontrar los supuestos en los que será necesario nombrar a un DPO:

• Cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público, excepto a los tribunales en el ejercicio de sus funciones.
•  Cuando las actividades del responsable y encargado del tratamiento, según la naturaleza, alcance y fines de las mismas, "requieran de una observación habitual y sistemática de interesados a gran escala".
• Si la actividades del responsable o encargado del tratamiento consistan en el tratamiento de datos a gran escala "de categorías de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10".

Funciones de un Data Protection Officer

Se recogen en el artículo 39 del RGPD, donde se establece que el DPO tendrá como mínimo las siguientes tareas:

1. "Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento" sobre las obligaciones legales vigentes en esta materia.
2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. cooperar con la autoridad de control;
5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto".

Pre requisitos DPO necesarios para optar a un certificado DPO.

Al hablar de los prerrequisitos, necesitamos hacer una división de los diferentes aspectos que entran como son la formación, la experiencia profesional y los méritos adicionales. Una vez esto, solo nos queda realizar el examen pertinente y tener claro cada cuánto tiempo hay que renovar el certificado DPO. Ten clara la información de la que vamos a hablar a continuación, ya que esta solucionará todas tus dudas.

I. Formación valorable

Se valorará la experiencia previa del interesado en las funciones inherentes a un DPO, así como una formación previa en las materias incluidas en el Esquema de Certificación AEPD-DPD.

La distribución de horas exigidas, en relación a la experiencia DPO previa será la siguiente:

• El temario de la formación deberá estructurarse conforme a los dominios establecidos en el Esquema para la Certificación DPO. Estos serán:
  • Dominio 1. Normativa General en Protección de Datos.
  • Dominio 2. Responsabilidad Activa.
  • Dominio 3. Técnicas para garantizar el cumplimiento de la Normativa en Protección de Datos.

De este modo, las  horas de formación quedarán distribuidas de la siguiente manera, dependiendo de la formación previa reconocida:

• 60 horas --> Dominio 1 - 30 horas; Dominio 2 – 18 horas; Dominio 3 – 12 horas.
• 100 horas --> Dominio 1 - 50 horas; Dominio 2 – 30 horas; Dominio 3 – 20 horas.
• 180 horas --> Dominio 1 - 90 horas; Dominio 2 – 54 horas; Dominio 3 – 36 horas.

Por tanto, si te reconocen 3 años, necesitarás una formación de 60 horas, las cuales se dividirán en 30 horas sobre el dominio 1, 18 horas, sobre el dominio 2 y 12 horas sobre el dominio 3. Y así con las demás.

Debemos tener en cuenta que, para la formación adquirida respecto a los dominios 2 y 3, “será valorable aquella que se haya obtenido antes o después de la publicación del RGPD".

Por lo tanto, el candidato no necesita cursar un programa de formación completo sino aquella materia que necesitase cursar para cumplir con las horas de formación requeridas.

II. Experiencia Profesional y Méritos Adicionales

Esta experiencia DPO deberá acreditarse mediante una evidencia objetiva:

• Curriculum Vitae.
• Certificado de empresa: en el constarán las funciones desempeñadas por el candidato, las fechas de inicio y de fin.
• Certificado de Vida Laboral.

La experiencia profesional del candidato, se valorará por el doble si ha participado en tratamientos de alto riesgo.

Así quedaría distribuida la valoración de la experiencia:

Si carecemos de experiencia DPO profesional previa o esta no supera la puntuación mínima por falta de años de experiencia, se valorarán los méritos según los Baremos publicados en el Esquema AEPD-DPD.

IV. Realización del Examen

Si hemos superado todos los trámites –que no son pocos- cumpliremos con todos los requisitos necesarios y estaremos capacitados para proceder a la realización del examen, pues se constituye como la meta del arduo proceso de certificación y obtención del certificado DPO.

La modalidad de examen será tipo test y  constará de entre 120 a 150 preguntas.

V. Renovación de la certificación

Es posible que la mayor parte de candidatos tengan en mente que esta acreditación es eterna. En este caso, estamos totalmente equivocados, pues tendrá una validez de tres años y su renovación requerirá acreditar.

- “Un mínimo de 60 horas de formación recibida y/o impartida durante el periodo de validez del certificado, requiriéndose un mínimo anual de 15 horas en materias objeto del programa del Esquema.

- Al menos, un año de experiencia profesional en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos de carácter personal y/o de la seguridad de la información, evidenciada por tercera parte (empleador o similar)”.