Delegado de Protección de Datos (DPD-DPO)

server

Como resultado de la implementación del Reglamento General de Protección de Datos (RGPD) y de la LOPDGDD, se ha creado la figura jurídica del Delegado de Protección de Datos (DPD o DPO), contenida en la Sección Cuarta del Reglamento General de Protección de Datos Personales (RGPD).

El Delegado de Protección de Datos, es una figura jurídica independiente, que deberá observar, velar o supervisar el cumplimiento normativo respecto a las actividades realizadas por las empresas que manejan, salvaguardan, organizan y procesan datos personales y/ o autoridades u organismos públicos que sus actividades sean proporcionados en los Estados Miembros de la Unión Europea, así como de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos, cuya principal función es el cumplimiento de la normativa en protección de datos.

El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios entre la empresa y el DPD externo, asimismo deberán publicar los datos de contacto del Delegado de Protección de Datos y comunicarlo a la autoridad de control.

La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:

  • Total autonomía en el ejercicio de sus funciones;

  • Necesidad de que se relacione con el nivel superior de la dirección; y

  • Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.

Deberá comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización que obligatoriamente requiera de este profesional.

Uno de las principales características de DPD es su independencia. En los casos que, de forma voluntaria, se designe a un DPD sin estar obligada la entidad, si bien se regirá por el mismo régimen de independencia y de trabajo, los requisitos técnicos no deberán ser cumplidos, siempre y cuando este DPD voluntario cuente con asesoramiento externo específico en la materia.

Debe poder ejercer sus funciones sin ninguna limitación y, por supuesto, sin conflicto de intereses, que es lo que podría ocurrir si el representante fuera nombrado DPD.

Funciones del DPD:

Para el buen desarrollo de sus funciones se le deberá dotar de los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad.

Asesoramiento

  • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
  • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice  relativa a la protección de datos.
  • Asesorar a los empleados durante el tratamiento de datos.

 

Supervisión del cumplimiento normativo

  • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
  • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
  • Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
  • Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
  • Formar al personal que participa en las operaciones de tratamiento de datos.
  • Supervisar las evaluaciones de impacto en la protección de datos.
  • Control, coordinación y verificación de las medidas de seguridad aplicables.

 

Cooperación y enlace con la autoridad de control

  • Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
  • Cooperar con la autoridad de control.

 

Atención a los interesados

  • Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.

En el artículo 37 del RGPD fija la obligatoriedad de su designación en estos casos:

  1. Cuando el tratamiento de los datos sea realizado por una autoridad o un organismo público.
  2. Si as actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Si las actividades principales del responsable implican el tratamiento a gran escala de datos especiales o personales referidos a condenas o delitos.

Asimismo la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en su artículo 34, enumera una serie de entidades en las que será obligatoria la designación de un DPO:

  • Relativos a condenas e infracciones penales
  • Especialmente protegidos
  • De manera masiva
  • Que necesiten de una supervisión de sus titulares
  • Colegios profesionales
  • Centros docentes
  • Informes comerciales
  • Entidades de crédito
  • Financiación empresarial
  • Entidades aseguradoras
  • Juego electrónico
  • Servicios de inversión
  • Distribuidor de electricidad
  • Comunicaciones electrónicas
  • Publicidad
  • Centros sanitarios
  • Seguridad privada
  • Solvencia patrimonial
  • Relativos a condenas e infracciones penales
  • Especialmente protegidos
  • De manera masiva
  • Que necesiten de una supervisión de sus titulares

Sanciones posibles de no tener un DPD en la empresa

Las sanciones posibles por la no designación de un DPD-DPO en una empresa cuando esta la requiera, sería catalogada como sanción grave que va de 10 millones de euros como máximo o, en caso de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, en el incumplimiento y/ o infracción del artículo 39 del Reglamento General de Protección de Datos Personales.

Contratación

La nueva normativa convierte al DPD en una figura muy importante para la empresa, aunque si bien es cierto que solo es obligatorio en ciertos casos, nuestra opinión es que todas las entidades deberían contar con esta figura.

Algunos servicios

  • Diseño de los protocolos de funcionamiento del órgano de coordinación
  • Dictamen y asesoramiento continúo sobre los tratamientos
  • Realización de evaluaciones de impacto cuando sean necesarias
  • Informar y asesorar a la entidad de las obligaciones que les incumben en virtud de la normativa
  • Cooperación con la autoridad de control
  • Actuación como punto de contacto entre la entidad y la autoridad de control para cuestiones relativas al tratamiento.

Por lo tanto, tendrá un recurso a su favor, si se da una violación de los datos se hará un informe en el que se recoja lo que ha pasado. Para, después, remitir dicho informe a la AEPD.

Si cuenta con un DPD en su empresa, en caso de que esto suceda, podrá actuar de forma mucho más rápida a la hora de paliar los efectos de la filtración o vulneración de la seguridad. Así como a la hora de informar a las autoridades competentes.

Por ello si necesita contratar un DPD externo, contamos con consultores especializados titulados como “Expertos en  Delegado de Protección de Datos” (N° RF-X3-0006-180/2018, entidad de formación reconocida por el instituto de certificación IVAC de acuerdo al esquema de la AEPD-DPD y acreditados por la misma) y, que podrán ejercer como tales ajustándose a las necesidades de su empresa.

¡Somos los profesionales que necesita!