¿Qué es el Delegado de Protección de Datos o DPD/DPO?
El Delegado de Protección de Datos, conocido popularmente como DPD o DPO (Data Protection Officer), constituye uno de los elementos claves del Reglamento General de Protección de Datos (RGPD). Es el garante del cumplimiento de la normativa de la protección de datos en las organizaciones.
Al DPD, que deberá contar con conocimientos especializados en derecho sobre protección de datos y actuar de forma independiente dentro de las entidades donde actúa, se le atribuyen una serie de funciones reguladas tanto en el RGPD, (recogidas en el art. 39) como en la LOPDGDD (recogidas en el art. 34), de las cuales destacan: informar y asesorar a todos aquellos responsables y encargados de tratamiento, supervisar el cumplimiento del RGPD por todos aquellos que traten los datos así como ser el punto de conexión entre las entidades y la Autoridad de Control (en España, la Agencia Española de Protección de Datos).
¿Cuándo es necesario nombrar un Delegado de Protección de Datos?
El Reglamento Europeo establece los casos en que es obligatoria esta figura, ya que no en todas las situaciones en que se traten datos es necesario. Es obligatorio cuando:
- los datos son tratados por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- la actividad principal del responsable o del encargado consiste en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requiera una observación habitual y sistemática de interesados a gran escala;
- la actividad principal del responsable o del encargado consista en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales.
Asimismo, y en cumplimiento del RGPD, la LOPDGDD amplía estos supuestos y añade, como obligados al nombramiento de esta figura a:
- los colegios profesionales y sus consejos generales.
- los centros escolares reglados y universidades, tanto públicas como privadas.
- las entidades que explotan redes y prestan servicios de comunicaciones electrónica.
- las entidades y establecimientos financieros de crédito.
- compañías aseguradoras y reaseguradora.
- las empresas de servicios de inversión.
- los distribuidores y comercializadores de energía eléctrica y gas natural.
- las entidades responsables de ficheros que evalúan la solvencia patrimonial y crédito.
- los responsables de ficheros regulados por la ley de prevención del blanqueo de capitales.
- las entidades que desarrollan actividades de publicidad y prospección comercial, cuando sus actividades impliquen elaboración de perfiles.
- los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes (no así quienes ejerzan dicha actividad a título individual).
- quienes emitan informes comerciales que puedan referirse a personas físicas.
- los desarrolladores de actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- las empresas de seguridad privada.
- las federaciones deportivas cuando traten datos de menores de edad.
Si la actividad de la entidad no se encuadra en ninguno de estos supuestos, dicha organización puede, cumpliendo el principio de Accountability o Responsabilidad Proactiva que marca el RGPD, nombrar un delegado de protección de datos voluntariamente, y asegurarse que su política de protección de datos es adecuada y cumple con la normativa legal vigente.
En caso de estar obligado a tener un DPD y no cumplir con esta obligación, puede conllevar importantes sanciones. El nombramiento de un Delegado de Protección de Datos siempre debe comunicarse a la AEPD.
Es importante añadir que un grupo empresarial puede designar un único DPD, siempre que sea fácilmente accesible para cada departamento. Si se nombra a una persona interna, se deberá tener en cuenta, además de la formación requerida, que su función no suponga un conflicto de intereses, como sería el caso de los directivos o responsables informáticos. Si se opta por delegar en una empresa externa, lo más habitual, deberá regularse mediante contrato.
¿Qué funciones realiza?
Como funciones del Delegado de Protección de Datos, se encuentran:
- Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento sobre sus obligaciones en materia de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en el RGPD y demás normativa sobre protección de datos.
- Asignación de responsabilidades, concienciación y formación del personal autorizado al tratamiento de los datos de la entidad.
- Realización de auditorías de control.
- Asesorar respecto a la realización de la evaluación de impacto.
- Cooperar con la autoridad de control y ser el punto de contacto entre esta y la entidad.
- Proporcionar soporte en la gestión de las brechas de seguridad.
- Atender a los interesados que se pongan en contacto con el DPD.
Un Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento y no podrá recibir instrucciones en lo que respecta al desempeño de dichas funciones.
¿Debe estar certificado?
Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos, asociada al desempeño de sus funciones.
La certificación es voluntaria y para obtenerla es obligatoria la realización de un examen oficial, justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC. En el equipo de OBN& contamos con Delegados de Protección de Datos certificados según este Esquema de Certificación para ofreceros un servicio de máxima calidad.
Si tenéis dudas sobre si vuestra empresa necesita un DPD o queréis un presupuesto para externalizar dicho servicio, en OBN& estamos a vuestra disposición.
Noticias relacionadas
Durante la situación causada por el COVID-19, se ha tratado de que el contribuyente -a nivel fiscal- o los ciudadanos -a nivel general- no se vena extremadamente perjudicados por la situación.
El Ministerio de Trabajo y Economía Social logró aprobar el Real Decreto Ley 28/2020, de 22 de septiembre de trabajo a distancia (Teletrabajo).
Noticias relacionadas
Durante la situación causada por el COVID-19, se ha tratado de que el contribuyente -a nivel fiscal- o los ciudadanos -a nivel general- no se vena extremadamente perjudicados por la situación.
El Ministerio de Trabajo y Economía Social logró aprobar el Real Decreto Ley 28/2020, de 22 de septiembre de trabajo a distancia (Teletrabajo).
Noticias relacionadas
Durante la situación causada por el COVID-19, se ha tratado de que el contribuyente -a nivel fiscal- o los ciudadanos -a nivel general- no se vena extremadamente perjudicados por la situación.
El Ministerio de Trabajo y Economía Social logró aprobar el Real Decreto Ley 28/2020, de 22 de septiembre de trabajo a distancia (Teletrabajo).
