¿Necesito un Delegado de Protección de Datos?

Un Delegado de Protección de Datos (DPD) o “Data Protection Officer” (DPO) es el responsable de velar por el cumplimiento de la normativa sobre protección de datos en una empresa, es decir, el que va a supervisar, vigilar y controlar que la normativa sobre protección de datos se cumple dentro de la empresa.

La figura viene recogida en el RGPD y la nueva LOPDGDD lo aclara un poco más.

En el art. 37.5 del RGPD establece que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”

Este articulo nos está indicando que el DPD debe tener conocimientos en el Derecho y en protección de datos y si esto se acompañado, como secundario, de conocimientos informáticos y de seguridad informática ya sería ideal aunque no necesario.

DPD

  • Puede ser externo o interno (deben cumplir con la normativa).
  • Puede ser una persona física o jurídica.
  • Tiene independencia y reporta a la dirección.
  • No debe verse influenciado por la empresa ni tener conflicto de intereses.
  • Sus funciones las puede realizar a tiempo completo o a tiempo parcial, casi que lo más importante es que realice su trabajo de forma efectiva más que la jornada o cantidad de horas que dedique.
  • Si la carga de trabajo es elevada el DPD puede crear un grupo de trabajo que le ayude a poder cumplir con sus funciones o servicios.

 

Supuestos en los que es obligatorio un DPD:

El RGPD establece en su Art. 37 la obligatoriedad de nombrar un Delegado de Protección de Datos, cuando se den determinadas circunstancias, y si se lee con detalle el artículo 37.1 C) se ve que los requisitos para tener que nombrar un DPD son en realidad tres:

1.- Que tratemos datos a gran escala.
2.- Que los datos tratados sean de categoría especial.
3.- Que estemos en el marco de nuestra actividad principal.

El dos y el tres parecen claros ¿pero y el número uno? ¿Cómo sabemos que son datos a gran escala?

La realidad es que ni el RGPD ni la Agencia de Protección de Datos nos indican de manera exacta cual es la cantidad de datos que se consideran a gran escala, y la doctrina indica que dependerá de cada caso.

Funciones del DPD

Vamos a comentar brevemente las funciones y obligaciones que otorga el RGPD y la LOPDGDD al DPD:

  • Atiende en primera instancia las reclamaciones contra la empresa presentadas ante la AEPD, debiendo responder en el plazo de un mes.
  • Los datos de contacto deben ser públicos para que los interesados le puedan contactar.
  • Hay que notificar su nombramiento a la AEPD.
  • Informa y asesora a la empresa y a sus trabajadores sobre las obligaciones en protección de datos y normativa aplicable.
  • Supervisa el cumplimiento de la normativa incluido la asignación de funciones y la formación.
  • Asesora en la realización de Evaluaciones de Impacto sobre protección de datos.
  • Actúa como intermediario de la empresa ante la AEPD.
  • Atiende las reclamaciones previas de los interesados.

Algo importante a saber es que no responde personalmente del cumplimiento de las obligaciones o del incumplimiento de la normativa de la empresa para la que presta sus servicios, es decir, en caso de una sanción ésta no recaería sobre el DPD sino sobre la empresa para la que presta sus funciones.

Si cree que necesita un DPD solo le podemos aconsejar que confié en especialistas, si desea que seamos nosotros estupendo sino intente buscar personas o empresas cualificadas para realizar este trabajo porque como ve esto no es broma.

Cualquier dude contacte con nosotros.