La figura del Delegado de Protección de Datos, conocida popularmente como DPD o DPO (por sus siglas en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD: es el garante del cumplimiento de la normativa de la protección de datos en las organizaciones.
Al Delegado de Protección de Datos (DPD-DPO), que deberá contar con conocimientos especializados en derecho sobre protección de datos y actuar de forma independiente dentro de las entidades donde actúa, se le atribuyen una serie de funciones reguladas tanto en el RGPD (art. 39) como en la propia LOPDGDD (art. 34) y de las que destacan el informar y asesorar a todos aquellos responsables y encargados de tratamiento, supervisar el cumplimiento del citado RGPD por todos aquellos que traten los datos así como ser el punto de conexión entre las entidades y la propia Autoridad de Control (en España, la Agencia Española de Protección de Datos).
¿Cuándo es necesario nombrar un Delegado de Protección de Datos (DPD-DPO)?
El Reglamento Europeo establece los casos en que es obligatoria esta figura, ya que no en todas las situaciones en que se traten datos es necesario. Es obligatorio cuando:
- los datos son tratados por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- la actividad principal del responsable o del encargado consiste en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requiera una observación habitual y sistemática de interesados a gran escala, o
- la actividad principal del responsable o del encargado consista en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales.
Asimismo, y en cumplimiento del propio RGPD, la LOPDGDD amplía estos supuestos y añade, como obligados al nombramiento de esta figura a:
- los colegios profesionales y sus consejos generales,
- los centros escolares reglados y universidades, tanto públicas como privadas,
- las entidades que explotan redes y prestan servicios de comunicaciones electrónicas,
- las entidades y establecimientos financieros de crédito,
- compañías aseguradoras y reaseguradoras,
- las empresas de servicios de inversión,
- los distribuidores y comercializadores de energía eléctrica y gas natural,
- las entidades responsables de ficheros que evalúan la solvencia patrimonial y crédito,
- los responsables de ficheros regulados por la ley de prevención del blanqueo de capitales,
- las entidades que desarrollan actividades de publicidad y prospección comercial (cuando sus actividades impliquen elaboración de perfiles),
- los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes, (no así quienes ejerzan dicha actividad a título individual),
- quienes emitan informes comerciales que puedan referirse a personas físicas,
- los desarrolladores de actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos,
- las empresas de seguridad privada y
- las federaciones deportivas cuando traten datos de menores de edad.
Si la actividad de la entidad no se encuadra en ninguno de estos supuestos, dicha organización puede, de forma proactiva (y cumpliendo así el principio de Accountability o Responsabilidad Proactiva que marca el RGPD), nombrar un delegado de protección de datos voluntariamente, y asegurarse que su política de protección de datos es adecuada y cumple con la normativa legal vigente.
En caso de estar obligado a tener un DPD y no cumplir con esta obligación, puede conllevar importantes sanciones.
El nombramiento de un Delegado de Protección de Datos siempre debe comunicarse a la AEPD (enlace para la comunicación).
Es importante añadir que un grupo empresarial puede designar un único DPD, siempre que sea fácilmente accesible para cada departamento. Si se nombra a una persona interna como DPD, se deberá tener en cuenta, además de la formación requerida, que su función no suponga un conflicto de intereses, como sería el caso de los directivos o responsables informáticos. Si se opta por delegar en una empresa externa esta figura, lo más habitual, deberá regularse mediante contrato.
¿Qué funciones realiza el Delegado de Protección de Datos (DPD-DPO)?
Como funciones del Delegado de Protección de Datos se encuentran:
- Informar y asesorar al responsable o encargado de tratamiento y a los empleados que se ocupen del tratamiento sobre sus obligaciones en materia de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en el RGPD y demás normativa sobre protección de datos.
- Asignación de responsabilidades, concienciación y formación del personal autorizado al tratamiento de los datos de la entidad.
- Realización de auditorías de control.
- Asesorar respecto a la realización de la evaluación de impacto.
- Cooperar con la autoridad de control y ser el punto de contacto entre esta y la entidad.
- Proporcionar soporte en la gestión de las brechas de seguridad.
- Atender a los interesados que se pongan en contacto con el DPD.
Un Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento y no podrá recibir instrucciones en lo que respecta al desempeño de dichas funciones.
¿Debe estar certificado un Delegado de Protección de Datos (DPD-DPO)?
Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos, asociada al desempeño de sus funciones.
La certificación es voluntaria y para obtenerla es obligatoria la realización de un examen oficial, justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC.
En el equipo de Pymelegal contamos con Delegados de Protección de Datos certificados según este Esquema de Certificación para ofreceros un servicio de máxima calidad.
Si tenéis dudas sobre si vuestra empresa necesita un DPD o queréis un presupuesto para externalizar dicho servicio, estamos a vuestra disposición.
El Equipo de PymeLegal