Delegado de Protección de Datos

Derecho Civil

El Delegado de Protección de Datos (DPD o DPO) es el encargado de controlar de forma independiente si en una organización se está cumpliendo adecuadamente la normativa de protección de datos.

La figura del DPD ha sido creada por el Reglamento General de Protección de Datos (RGPD). Además de controlar si en una entidad se cumple con dicho reglamento, cooperará con la autoridad de control, siendo el intermediario en la comunicación entre ésta y la organización que está tratando los datos de las personas físicas.

Delegado de Protección de Datos

El Delegado de Protección de Datos (DPD o DPO) es el encargado de controlar de forma independiente si en una organización se está cumpliendo adecuadamente la normativa de protección de datos.

La normativa de protección de datos que el DPO supervisa es, tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

¿Cuáles son las funciones de un Delegado de Protección de Datos?

El DPO debe llevar a cabo sus funciones con independencia para poder proporcionar suficientes garantías del cumplimiento de la normativa.

Además, sus datos de contacto deben ser públicos. De este modo, tanto supervisores como interesados que quieran ejercer sus derechos pueden establecer un contacto directo y privado.

Las funciones del DPO se regulan en el artículo 39 del RGPD y son:

  1. Supervisar que se cumple el RGPD en el seno de la organización.
  2. La formación y toma de conciencia de los encargados o responsables del tratamiento de los datos personales en materia de protección de datos.
  3. El asesoramiento de los empleados de la empresa, así como de los responsables o encargados sobre la aplicación interna de la normativa de protección de datos y sobre las evaluaciones de impacto.
  4. Coordinar, controlar y comprobar que se cumplen unas medidas de seguridad adecuadas en el tratamiento de datos personales.
  5. Cooperar con la Agencia Española de Protección de Datos (AEPD) y con las Agencias Autonómicas.
  6. Cooperar con la autoridad de control.
  7. Ser el punto de contacto entre la empresa y la AEPD para la gestión de consultas relativas al tratamiento de datos.

¿Quién puede ser DPO?

La figura del DPO debe cumplir unos requisitos formativos que se regulan tanto en la LOPDGDD como en el RGPD, en el artículo 37. No es necesario ser jurista, si bien es recomendable, ya que el DPO de una empresa se selecciona en base a:

  • Su capacidad para realizar las funciones descritas en el apartado anterior.
  • Sus conocimientos en derecho.
  • Su experiencia en protección de datos.

Asimismo, la LOPDGDD establece la posibilidad de que existan mecanismos de certificación voluntarios que tengan en cuenta la titulación universitaria en derecho.

Sin embargo, si la entidad elige a un empleado como DPO, lo que se exige para que pueda ejercer sin tener los requisitos formativos anteriores es que lleve a cabo una formación en una entidad que esté acreditada por la AEPD.

¿Cuándo es obligatorio nombrar un delegado de protección de datos?

El RGPD recoge tres supuestos en los que existe la obligación de designar a un DPO en su artículo 37.1, que son:

  • Cuando el tratamiento de los datos personales se lleve a cabo por un organismo público o por una autoridad, salvo los tribunales.
  • Cuando se traten datos a gran escala o datos sensibles, tales como datos de salud, de convicciones religiosas, de afiliación sindical, de origen racial y étnico o de opiniones políticas.
  • Que se traten datos a gran escala pertenecientes a condenas e infracciones penales.

Junto a la regulación del RGPD, la LOPDGDD española recoge otros supuestos en los que los responsables y encargados del tratamiento deben nombrar un DPO en todo caso. Dichos supuestos, de acuerdo con el artículo 34 de la ley, son:

  • Los colegios profesionales y sus consejos.
  • Los centros docentes de cualquier nivel educativo, así como las Universidades, ya sean públicas o privadas.
  • Las entidades que presten servicios de comunicaciones electrónicas o exploten redes, cuando traten datos a gran escala de forma habitual.
  • Los prestadores de servicios de la sociedad de la información.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de inversión que están reguladas por la ley del Mercado de Valores.
  • Los establecimientos de crédito de carácter financiero.
  • Los distribuidores y comercializadores de energía eléctrica y gas natural.
  • Las federaciones deportivas que traten datos de menores de edad.
  • Las empresas de seguridad privada.
  • Las que emitan informes comerciales referentes a personas físicas.
  • Las que desarrollen la actividad del juego de forma telemática.
  • Los centros sanitarios que mantengan las historias clínicas de los pacientes, salvo los profesionales sanitarios que actúen a título individual.
  • Las empresas que lleven a cabo actividades de publicidad y de carácter comercial.
  • Las entidades que evalúen la solvencia patrimonial, el crédito o la gestión y prevención del fraude.

Aquellos que sean responsables y encargados del tratamiento de datos de las personas físicas y que tengan la obligación de nombrar un DPO comunicarán dicho nombramiento a la AEPD en el plazo de 10 días. Se establece el mismo plazo para comunicar su cese.

¿Qué cualidades debe tener un DPO?

Un DPO no debe cumplir únicamente con requisitos formativos, sino también con unas aptitudes y cualidades que permitan el correcto desarrollo de sus funciones dentro de la entidad. Dichas cualidades son:

  1. Independencia para ofrecer garantías de cumplimiento de la normativa de protección de datos en la empresa.
  2. Proactividad.
  3. Capacidad de negociación y comunicación, dado su papel como intermediario entre la organización y la autoridad de control.
  4. Ética profesional.
  5. Conocimiento corporativo interno y sobre el sector empresarial en general.

Los límites de la responsabilidad de un DPO

El RGPD regula los límites a la responsabilidad del DPO al establecer que es el responsable o encargado del tratamiento de los datos personales quien debe cumplir con la normativa de protección de datos, así como aplicar las medidas necesarias de carácter técnico u organizativo.

Por tanto, si bien el DPD cuenta con funciones de asesoramiento al responsable de la organización, no tiene responsabilidad personal ante el incumplimiento de las medidas de seguridad o ante una violación directa del RGPD o de la LOPDGDD.