OPENLEY
PROFESIONALES DE LA PRIVACIDAD
Una de las principales novedades que implica el Reglamento es la creación de la figura del
Delegado de Protección de Datos (DPD), o en inglés DPO, («Data Protection Officer«).
La nueva normativa (RGPD) convierte al DPD en una figura muy importante para la empresa.
Blinde su empresa con profesionales de la privacidad supervisando el cumplimiento normativo en su organización.
ASESORAMIENTO
Sobre las EIPDs, y todas las obligaciones y derechos en materia de protección de datos
NEXO AEPD
Nombramiento como DPD, y cooperación con la Agencia Española de Protección de Datos
SUPERVISIÓN
Del cumplimiento normativo RGPD y LOPD-GDD, y de las políticas de protección de datos
ASISTENCIA
Gestión de derechos de los afectados, defensa jurídica y todo lo necesario para su tranquilidad
¿Qué es el Delegado de Protección de Datos?
El DPD, es la persona o empresa encargada informar y supervisar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos. También deberá supervisar el cumplimiento normativo así como de cooperar con la autoridad de control (en nuestro caso, la AEPD) y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.
¿Es necesario contratar un DPD?
El artículo 37 del RGPD obliga a la designación de un DPD ante la autoridad de control (AEPD) en la práctica totalidad de las Administraciones Públicas (salvo los tribunales de justicia), en caso de un tratamiento de datos masivo (es decir, de un gran número de datos) o bien en caso de tratamiento de categorías especiales de datos (salud, antecedentes penales, etc.) a gran escala. Sin embargo, dada la ambigüedad de estos supuestos, la LOPDyGDD, en su artículo 34, define una serie de entidades obligadas.
¿Debo contratar un DPD?
La designación obligatoria de un Delegado de Protección de Datos solo debe hacerse en determinados casos, establecidos en el artículo 37 del RGPD y el artículo 34 de la LOPD-GDD.
Algunos casos están muy claros: clínicas, bufetes de abogados, empresas grandes, financieras… Sin embargo, algunos casos no quedan establecidos directamente. El artículo 34.1.j. de la LOPD-GDD indica que deben nombrar un DPD: “Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo”. Y, si vamos a la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, nos encontramos muchos sujetos obligados, como inmobiliarias, gestorías, fundaciones, despachos de lotería, etc.
Se han realizado múltiples consultas de este último punto ante la AEPD, casi todas resueltas de forma ambigua. Por ello, nuestra postura es la de recomendar la contratación de esta figura en estos casos, toda vez que así lo indica la normativa, al menos hasta que haya una postura clara de las autoridades de control.
¿Y si mi actividad no está en la lista?
La privacidad es un valor cada vez más en auge, y más en el mundo digital actual. Las normativas son cada vez más amplias, más complejas y con sanciones más duras, y los usuarios son cada vez más conscientes de sus derechos. Las reclamaciones ante la AEPD prácticamente se duplican cada año.
Tener una figura como un DPD en su organización, independientemente del sector en el que opere y de su tamaño o facturación, se hace cada vez más recomendable. Nuestros Delegados de Protección de Datos garantizarán el correcto cumplimiento normativo en todo momento, minimizando los riesgos asociados al tratamiento de datos personales.
¿Sería posible un DPD presencial?
Hoy en día, las barreras tecnológicas se han eliminado por completo, y se pueden realizar actividades que antaño parecían imposibles, y a precios mucho más asequibles. Por eso, nuestros clientes suelen contratar el servicio telemático que, en general, es más que suficiente en la gran mayoría de los casos. Además, el ahorro en costes con respecto a un DPD presencial es entre un 50 y un 75%. Nada despreciable.
Sin embargo si, por el motivo que sea, desea un servicio presencial, podremos ofrecérselo en aquellos lugares dónde tengamos presencia física. Consúltenos.
¿Hay compromisos de permanencia?
Ninguno, solo el período contratado (normalmente, 1 año). Nos daremos de alta en la AEPD como sus DPDs. En el momento en el que decida que dejemos de serlo, solo tendrá que notificárnoslo para que nos demos de baja.
Funciones del DPD
Algunas de las tareas del Delgado de Protección de Datos son:
- Asesorar al Responsable/Encargado sobre sus obligaciones normativas
- Revisar y supervisar la Evaluación de Impacto que realicen los Encargados/Responsables
- Asesorar a los empleados del Responsable/Encargado sobre el tratamiento de datos
- Supervisar que el cumplimiento normativo se está realizando correctamente
- Realizar acciones de concienciación al personal que va a tratar datos personales
- Cooperar con las autoridades de control ante cualquier requerimiento
- Ser el punto de contacto intermedio entre el Responsable/Encargado y la AEPD
- Atender las consultas o ejercicios de derechos de los interesados
Ventajas de nombrar un DPD
En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden nombrar un DPD de forma voluntaria. De ser así, se aplicará a su designación, su puesto y sus tareas los requisitos establecidos en los Arts. 37 a 39 del RGPD, como si el nombramiento fuera obligatorio.
El nombramiento de manera voluntaria de un DPD puede resultar conveniente, junto con la adhesión a códigos de conducta propios o ya establecidos, en supuestos en los que si bien no es obligatoria dicha designación, cuando por la actividad que realizará el responsable o encargado del tratamiento suponga una alta probabilidad de denuncias o inspecciones, de un tratamiento de gran volumen de datos, o por la complejidad de garantizar completamente el buen funcionamiento y aplicación de los protocolos y medidas organizativas necesarias para el buen cumplimiento legislativo en materia de Protección de Datos.
Un mismo DPD para grupos empresariales
Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.
El nombramiento de un DPD por parte de un grupo empresarial mejora la fluidez de las comunicaciones, la formación y la información transmitida a todo el grupo, que además, optimizará el coste de dicho servicio ya que sería un mismo DPD para toda la entidad.