LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

15/07/2024. 10:39:51

LegalToday

Por y para profesionales del Derecho

Aspectos clave de un Delegado de Protección de Datos

Georgina Andrés Ricart

Coordinadora Legal – PymeLegal

¿Conoces que es un DPD? ¿Sabes si deberías tener un DPD en tu empresa?

Esta figura, conocida popularmente como DPD o DPO (por sus siglas en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD: es el garante del cumplimiento de la normativa de la protección de datos en las organizaciones.

Vamos a resolver las consultas que más nos han hecho nuestros clientes:

  1. ¿Qué es un DPD?

El Delegado de Protección de datos es quien, entre otras funciones, debe supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales.

Al Delegado de Protección de Datos, que deberá contar con conocimientos especializados en derecho sobre protección de datos y actuar de forma independiente dentro de las entidades donde actúa, se le atribuyen una serie de funciones reguladas tanto en el RGPD (art. 39) como en la propia LOPDGDD (art. 34).

  • ¿Cuáles son sus funciones?

Entre sus funciones detallamos:

  • Informar y asesorar al responsable o encargado de tratamiento y a los empleados que se ocupen del tratamiento sobre sus obligaciones en materia de protección de datos, así como asesoramiento respecto a la realización de la evaluación de impacto.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD y demás normativa sobre protección de datos.
  • Realización de auditorías de control.
  • Cooperar con la autoridad de control y ser el punto de contacto entre esta y la entidad.
  • Proporcionar soporte en la gestión de las brechas de seguridad.
  • Atender a los interesados que se pongan en contacto con el DPD.

Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos, asociada al desempeño de sus funciones.

Para obtener la certificación como DPD es obligatoria la realización de un examen oficial y justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC.

En el equipo de Pymelegal contamos con Delegados de Protección de Datos certificados según este Esquema de Certificación, para ofreceros un mejor servicio de máxima calidad.

  • ¿Estoy obligado a tener un DPD?

El Reglamento Europeo establece los casos en que es obligatoria esta figura, ya que no en todas las situaciones en que se traten datos es necesario. Tanto el propio RGPD como nuestra LOPDGDD definen los supuestos en los que tenemos la obligación de designar, y son los siguientes:

  • El tratamiento de los datos los lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual ysistemática de interesados a gran escala.
  • La actividad principal del responsable o del encargado consista en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales, como:
  • Origen étnico o racial.
  • Opiniones políticas, convicciones religiosas o filosóficas.
  • La afiliación sindical.
  • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
  • Datos relativos a la salud o datos relativos a la vida o la orientación sexuales de una persona física.
  • Condenas e infracciones penales o medidas de seguridad conexas.

Asimismo, y en cumplimiento del propio RGPD, la LOPDGDD amplía estos supuestos y añade, como obligados al nombramiento de esta figura, entre otros, a: 

–             los colegios profesionales y sus consejos generales,

–             los centros escolares reglados y universidades, tanto públicas como privadas,

–             las entidades que explotan redes y prestan servicios de comunicaciones electrónicas,

–             las entidades y establecimientos financieros de crédito,

–             las entidades aseguradoras y reaseguradoras,

–             las entidades responsables de ficheros que evalúan la solvencia patrimonial y crédito,

 Para saber en qué casos es obligatorio contar con esta figura, podéis consultarlo en el siguiente artículo.

Si la actividad de la entidad no se encuadra en ninguno de estos supuestos, dicha organización puede, de forma proactiva (y cumpliendo así el principio de Accountability o Responsabilidad Proactiva que marca el RGPD), nombrar un delegado de protección de datos voluntariamente, y asegurarse que su política de protección de datos es adecuada y cumple con la normativa legal vigente. 

En caso de estar obligado a tener un DPD y no cumplir con esta obligación, puede conllevar importantes sanciones.

El nombramiento de un Delegado de Protección de Datos siempre debe comunicarse a la AEPD.

  • ¿El DPD puede ser interno o debe ser externo?

El Delegado de Protección de Datos puede ser interno o externo, siempre que en ambos casos, cumpla con lo establecido por la normativa aplicable. Las funciones que deberá realizar son las mismas, pero cada modalidad presenta unas ventajas frente a la otra, que se resumen en la imagen que aparece a continuación:

Si se nombra a una persona interna como DPD, se deberá tener en cuenta, además de la formación requerida, que su función no suponga un conflicto de intereses, como sería el caso de los directivos o responsables informáticos.

Si se opta por delegar en una empresa externa deberá regularse mediante contrato de servicios. Este externo puede ser una persona física o una entidad externa. Está suele ser la modalidad de contratación más recomendada.

  • ¿Qué es un DPD compartido?

Un DPD compartido, es aquel que actúa como tal para varios responsables. El RGPD permite un único DPD para un grupo empresarial siempre que este sea fácilmente accesible para todos. En la imagen que aparece a continuación podréis ver las ventajas que supone esta figura:

Si tenéis cualquier duda o consulta relacionada con la figura del DPD, nuestro equipo está a vuestra disposición para ayudaros a solventarlas.

El Equipo de PymeLegal

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.