Si tienes una empresa y estás dudando de si necesitas incorporar la figura de un Delegado de Protección de Datos, en este artículo te resolvemos todas las dudas que nos suelen llegar en relación a esta temática.
¿Necesito un Delegado de Protección de Datos en mi empresa?
Aunque hayan pasado unos cuantos años desde la aplicación del RGPD, la figura del Delegado de Protección de Datos (DPD o DPO) sigue generando dudas a las empresas.
Hoy te contaremos en qué casos es obligatorio contar con esta figura, qué formación debe tener un DPD y otras dudas frecuentes que suelen tener nuestros clientes.
¿Qué empresas están obligadas a tener un Delegado de Protección de Datos?
El Delegado de Protección de Datos es obligatorio según el RGPD cuando:
- Los datos los trate una autoridad u organismo público (ej.: Ayuntamientos)
- La actividad del responsable requiera una observación habitual o sistemática de interesados a gran escala (ej.: Centro comercial con sistema de videocámaras)
- Se realice un tratamiento a gran escala de categorías especiales de datos (ej.: Centros médicos)
Y según la LOPDGDD en los siguientes supuestos:
- los colegios profesionales y sus consejos generales,
- los centros escolares reglados y universidades, tanto públicas como privadas,
- las entidades que explotan redes y prestan servicios de comunicaciones electrónicas,
- las entidades y establecimientos financieros de crédito,
- compañías aseguradoras y reaseguradoras,
- las empresas de servicios de inversión,
- los distribuidores y comercializadores de energía eléctrica y gas natural,
- las entidades responsables de ficheros que evalúan la solvencia patrimonial y crédito,
- los responsables de ficheros regulados por la ley de prevención del blanqueo de capitales,
- las entidades que desarrollan actividades de publicidad y prospección comercial (cuando sus actividades impliquen elaboración de perfiles),
- los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes, (no así quienes ejerzan dicha actividad a título individual),
- quienes emitan informes comerciales que puedan referirse a personas físicas,
- los desarrolladores de actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos,
- las empresas de seguridad privada y
- las federaciones deportivas cuando traten datos de menores de edad.
¿Puedo nombrar un Delegado de Protección de Datos aunque no esté obligado?
Si la actividad de nuestro negocio o empresa no se encuentra en ninguno de los supuestos mencionados en el apartado anterior, podemos nombrar igualmente un Delegado de Protección de Datos.
Nombrar un DPD no nos penaliza, todo lo contrario. Es una medida proactiva (principio de Responsabilidad Proactiva del RGPD) que asegura un control de cumplimiento y que la Agencia Española de Protección de Datos valorará de forma positiva ante un posible requerimiento.
Por el contrario, si estamos obligados a tener un DPD y no lo hemos hecho, esto sí puede implicar elevadas sanciones por parte de la Autoridad competente, en nuestro caso la AEPD.
¿Dónde debo comunicar el nombramiento de un Delegado de Protección de Datos?
El nombramiento de un Delegado de Protección de Datos para nuestra empresa debe hacerse a la Agencia Española de Protección de Datos en su sede electrónica.
¿Qué hace el Delegado de Protección de Datos?
El DPD rendirá cuentas ante el más alto nivel jerárquico de la entidad y no podrá recibir instrucciones en lo que respecta al desempeño de sus funciones.
Algunas de las funciones más destacables son:
- Informar y asesorar al responsable o encargado de tratamiento y a los empleados que se ocupen del tratamiento sobre sus obligaciones en materia de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en el RGPD y demás normativa sobre protección de datos.
- Realizar auditorías de control.
- Asesorar respecto a la realización de evaluaciones de impacto.
- Cooperar con la autoridad de control y ser el punto de contacto entre esta y la entidad.
- Proporcionar soporte en la gestión de las brechas de seguridad.
- Atender a los interesados que se pongan en contacto con el DPD.
- Gestión de los derechos de los afectados.
¿Que estudiar para ser Delegado de Protección de Datos?
El DPD deberá contar con conocimientos especializados en derecho sobre protección de datos y ciertos conocimientos en materia de sistemas de información para llevar a cabo de forma correcta las funciones asignadas mencionadas anteriormente.
La AEPD emitió un informe sobre las directrices que deben cumplir los Delegados de Protección de Datos.
Además, en nuestra academia online ofrecemos distintos cursos para recibir la formación necesaria en esta materia. Consúltalos aquí.
¿El Delegado de Protección de Datos debe estar certificado?
Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos. Por lo tanto, será un valor añadido importante y un garante que el DPD esté certificado.
Para obtener la certificación es obligatorio la realización de un examen oficial, para justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC.
En el equipo de PymeLegal contamos con varios perfiles certificados como Delegados de Protección de Datos según este Esquema de Certificación para ofreceros un servicio de máxima calidad.
¿El DPD debe ser interno o externo?
El Delegado de Protección de Datos puede ser interno o externo, siempre que en ambos casos cumpla con lo establecido por la normativa aplicable.
Las funciones que deberá realizar son las mismas, pero cada modalidad presenta unas ventajas frente a la otra:
Ventajas Delegado Protección de Datos INTERNO
- Conocimiento de la estructura del negocio
- Proximidad y mejor comunicación
- Mejor planificación alineada con la estrategia de empresa
Ventajas Delegado Protección de Datos EXTERNO
- Planificación y comités de seguimiento
- DPD especializado y certificado
- Solución a la falta de personal interno calificado
- Sin posible conflicto de intereses
- Conocimiento de las mejores prácticas
- Regulado por contrato de prestación de servicios (garantía)
Si se nombra a una persona interna se deberé tener en cuenta que su función no suponga un conflicto de intereses, como sería el caso de los directivos o responsables de informática, como ha indicado la AEPD y otras Autoridades de Control en diferentes informes.
Si se opta por externalizar el servicio, que es la modalidad que tenemos con la mayoría de clientes que requieren un DPD, se deberá regular mediante contrato de servicio.
Desde nuestro punto de vista, según el tamaño de la empresa, es mucho mejor externalizar el servicio para tener plenas garantías de cumplimiento y no tener que destinar recursos internos a esta figura sin los conocimientos necesarios.
¿Qué coste tiene externalizar el Delegado de Protección de Datos?
Como es habitual en el sector de la consultoría nos podemos encontrar todo tipo de precios para estos servicios lo que genera dudas ante los clientes que solicitan presupuesto.
De entrada, no nos fiemos de las empresas que nos quieren vender el servicio de DPD a la ‘primera de cambio’. Muchas de ellas, con la política del miedo, venden el DPD a cualquier tipo de cliente cuando quizás no está obligado a tenerlo.
También desconfiemos de los ‘lowcost’. Según que tarifas son imposibles si detrás tiene que haber un DPD certificado. En muchos casos será un abogado que deberá dedicar un mínimo de horas mensual al proyecto, hacer seguimiento y, sobre todo, tener responsabilidad sobre la materia.
Desde PymeLegal analizamos previamente la necesidad de disponer de un DPD y luego elaboramos una propuesta a medida que incluya todos los requisitos obligatorios para garantizar al cliente el nivel de cumplimiento exigido, con una planificación a nivel de recursos y equipos.
Si tienes más dudas sobre esta temática o quieres analizar el caso de tu empresa para saber si estás obligado a tener un Delegado de Protección de Datos, contacta con nuestro equipo y agendaremos una videollamada para valorar tus necesidades.
El equipo de PymeLegal