PORQUE DESIGNAR PROFESIONALES DE DERECHO COMO OFICIALES DE PROTECCION DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 cferreyros@ferreyros-ferreyros.com

RESUMEN

Discutible el requerimiento de la ANPDP, quien exige ahora en su Guía de Preguntas y Respuestas relacionadas con la Directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales una combinación de formación especializada (mínimo 90 a 120 horas) y experiencia profesional alternativa e híbrida: General (7.3.3.1

.) Especifica (7.3.3.2

.). En el Perú hay pocos profesionales que puedan cumplir a cabalidad tales exigencias en experiencia y en prioridad, por profesionales de derecho.

El Reglamento General de Protección de Datos (RGPD, UE 2016/679, artículo 37.5), sobre las exigencias para ser Delegado (Oficial) de Protección de Datos (DPD o DPO), requiere designar a una persona con cualidades profesionales específicas, pero prioriza:

. Conocimientos especializados en derecho y protección de datos, adaptados al nivel de complejidad del tratamiento de datos en la organización (art. 37.5 y considerando 97).

. Experiencia práctica demostrable en la materia.

. Capacidad funcional: independencia, habilidades

analíticas, comunicativas y de gestión de riesgos.

Es altamente recomendable la designación de un profesional en derecho porque el RGPD exige explícitamente "conocimientos especializados del Derecho y la práctica en materia

de protección de datos" (artículo 37.5), y los abogados aportan esa base normativa esencial para interpretar y aplicar la regulación compleja".

_______________________________

ANEXO

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Considerando (97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

 Artículo 37 Designación del delegado de protección de datos

(…):

5.   El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

 Artículo 38

Posición del delegado de protección de datos

(…):

2.   El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

Artículo 39

Funciones del delegado de protección de datos

1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a)	informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 

b)

supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

 

c)	ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

 

d)	cooperar con la autoridad de control;

 

e)	actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

________________________

"José Alberto Rojas Marcelo

Digital Security Consultant| Internet Governance

¿El fin de los ODP "de papel"? La ANPD aclara la valla 🛡️⚖️

La ANPD acaba de publicar una guía de preguntas y respuestas sobre la nueva Directiva del Oficial de Datos Personales (ODP). Más que un documento informativo, es una hoja de ruta hacia la profesionalización obligatoria, dejando claro que la designación debe ser un acto formal y transparente ante el ciudadano.

Lo que más destaca es el giro hacia una idoneidad técnica real: ya no basta con el título. La autoridad exige ahora una combinación de experiencia práctica y formación especializada (mínimo 90 a 120 horas) como requisitos que deben cumplirse sí o sí. Si el perfil del ODP es insuficiente y eso afecta la seguridad de los datos, la empresa podría enfrentar sanciones.

En conclusión, la ANPD apuesta por una fiscalización operativa: el plazo de 180 días no es para llenar un formulario, sino para asegurar que el ODP sea un asesor técnico capaz de gestionar riesgos complejos.

¡Es momento de auditar perfiles y ponerse al día! 🚀