Ésta es una de las dudas que se nos plantean puesto que se trata de una función que puede ser asumida por:
- trabajadores de la empresa o
- por profesionales especializados mediante un régimen de contratación de arrendamiento de servicios (como un Abogado), pudiéndose optar por equipos interdisciplinares en los que se combinen diferentes habilidades individuales que, trabajando en equipo, puedan servir más eficientemente a la organización.
En cualquier caso, el artículo 37, apartado 5, del Reglamento Europeo dispone que el DPO será designado atendiendo a:
- sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
- la práctica en materia de protección de datos y
- a su capacidad para desempeñar las funciones indicadas en el artículo 39 del Reglamento
Se deberán atender los siguientes aspectos:
A) Nivel de experiencia
Es una cuestión que debe ser proporcional a la complejidad y cantidad de datos que una organización procesa.
Y existe una diferencia en función de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si son ocasionales.
B) Cualidades profesionales
- Experiencia en leyes y prácticas nacionales y europeas de protección de datos, y conocimiento del Reglamento Europeo de Protección de Datos y del sector empresarial
- Comprensión de las operaciones de procesamiento de datos realizadas, de los sistemas de información y de las necesidades de seguridad de los datos
C) Capacidad para realizar sus tareas
La capacidad para cumplir las tareas se refiere tanto a sus cualidades y conocimientos personales, como a su puesto dentro de la organización.