24 de septiembre de 2017 | Actualizado: Sábado a las 20:00
Opinión > FIRMAS

Los centros sanitarios se preparan para contratar DPOs

Salvador Serrano Fernández, Responsable del área de protección de datos de PSN SERCON
Miércoles, 19 de julio de 2017, a las 15:50
Los hospitales y centros de salud se preparan ya para una de las consecuencias de mayor impacto del Reglamento General de Protección de Datos (RGPD): la obligatoriedad de contar con un delegado de Protección de Datos (DPO) en cada uno de ellos a partir del 25 de mayo de 2018. Esto se traducirá, previsiblemente, en una contratación masiva de profesionales especializados en la protección de datos en los próximos meses.

¿Por qué es obligatorio para hospitales y centros de salud contar con un Delegado de Protección de Datos?

El RGPD estipula, en su artículo 37, que el encargado del tratamiento, en este caso el centro sanitario, deberá designar un delegado de protección de datos. La razón de esta obligatoriedad es el hecho de que los datos relativos a la salud entran dentro de las categorías especiales de datos y la ley estipula que todos aquellos encargados de tratamiento cuyas actividades “consistan en el tratamiento a gran escala de categorías especiales de datos personales” deben disponer de un DPO.

Teniendo en cuenta que el número de centros sanitarios en España está cerca de los 4.000, las tipologías de profesionales con las cualificaciones necesarias para desempeñar este puesto estarán en alta demanda en un futuro próximo. El RGPD, ya en vigor, comenzará a aplicarse el 25 de mayo de 2018. Pero ¿qué tipo de profesionales pueden optar al puesto de delegado de Protección de Datos?

A este respecto, la ley dice: “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”

No existe, por tanto, una obligatoriedad de certificación específica alguna, si bien sí puede ser útil para dotar de garantías a las empresas a la hora de contratar a un profesional, aumentando las posibilidades de que sea alguien con capacidad para llevar a cabo las tareas requeridas para el puesto.

La propia Agencia Española de Protección de Datos, comentando la certificación que ya prepara, aclaró que “si bien esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia”.

También es necesario subrayar dos aspectos fundamentales. Uno, que el papel del delegado de Protección de Datos puede ser desempeñado por un proveedor externo (“El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”) y dos, que una misma persona prestar sus servicios a más de una organización dentro de un mismo grupo (“Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento”).