LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

¿Qué es un Delegado de Protección de Datos?

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.

el Delegado de Protección de Datos -DPD-, que dependerá del responsable de la empresa, será independiente y se encargará de garantizar que los datos se tratan y protegen conforme a la Ley

¿Es obligatorio nombrar un delegado de protección de datos?

Las empresas de algunos tipos tendrán que hacerlo. El RGPD establece la obligatoriedad de nombrar a un DPO en el artículo 37.1

Entre ellas se incluyen los organismos públicos, las que tengan una actividad principal que consista en el seguimiento de personas a gran escala (incluida la elaboración de perfiles) o las que gestionen datos en categorías especiales, como datos médicos o relativos a condenas o infracciones penales.

Para dar mayor claridad, el texto del Anteproyecto de Ley Orgánica de Protección de Datos (ALOPD) incluye un listado de las entidades que, en todo caso, deberán designar un DPD ( ART.35)

Si esta figura reúne las condiciones que el RGPD establece para los DPD, las organizaciones podrán beneficiarse de los incentivos previstos en el RGPD y en la legislación española.

¿Quién puede ser un DPO?

El delegado de protección de datos podría ser un empleado actual o se podría contratar a alguien de fuera de la empresa, fuere quien fuere, siempre tendrás que informar de quiénes son a la autoridad de control y también deberán tener la formación adecuada.

En cuanto a la designación del Delegado de Protección de Datos, se deberá hacer atendiendo a sus conocimientos especializados del derecho y la práctica en materia de protección de datos. Véase el reglamento, en el que se deja claro claro el perfil jurídico que requiere a través de los artículos 37.5 y 39.

Tanto el RGPD como el Anteproyecto, establecen que, para acreditar sus conocimientos, se podrá demostrar a través de mecanismos voluntarios de certificación.

La AEPD emitió un esquema de certificación de DPD para obtener dicha acreditación, la cual no es obligatoria (al menos hasta ahora) para ejercer este puesto, pero evidentemente los profesionales que cuenten con esta titulación tendrán prioridad para ser reclutados por las empresas que decidan tener este perfil dentro de su organización.

¿Siempre hay que justificar el nombramiento del DPO?

Al igual que el RGPD, el texto del ALOPD, advierte que los responsables o encargados del tratamiento que no tengan obligación de nombrar un DPD, podrán hacerlo voluntariamente si así lo estiman conveniente.

En cualquier caso, sea obligatorio o voluntario, hay que justificar su nombramiento o no, y debe ser comunicado a la Agencia Española de Protección de Datos en un plazo de 10 días.

El incumplimiento de esta obligación, y de cualquier precepto relacionado con el DPD constituye una infracción sancionada con multas de hasta el 2% del volumen de negocio anual.

¿Quién será responsable en caso de incumplimiento del RGPD?

Hay que destacar que el DPD no será personalmente responsable en caso de incumplimiento del RGPD. Es el responsable o el encargado del tratamiento quién está obligado a garantizar y ser capaz de demostrar que el tratamiento que realiza es conforme con la normativa, siendo su responsabilidad su cumplimiento. Es por ello que conviene que el DPD tenga un seguro de responsabilidad civil.

¿Cuáles son las funciones del DPO?

La función de Delegado de Protección de Datos puede ser adoptada tanto por un trabajador interno como por un tercero.

Destacan las siguientes:

  • Informar y asesorar. Realizará asesoramiento al responsable y al encargado, y a sus empleados, en la toma de decisiones sobre tratamiento de datos con el objetivo de cumplir con el RGPD, así como en las obligaciones que les incumben.
  • Supervisar el cumplimiento normativo. Su misión principal será velar por el cumplimiento del RGPD así como de toda la normativa sobre protección de datos, de los derechos de las personas, obligaciones de los responsables, incluido la formación al personal de la organización.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto. La obligación de realización dicha evaluación es del responsable, si bien podrá pedir consejo al DPD.
  • Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control.

Sin olvidar que deberá:

  • Mantener el secreto profesional y la confidencialidad.
  • Ejercer sus funciones prestando atención a los riesgos en la protección de datos.
  • Podrá ejercer otras tareas no relacionadas con el Responsable o Encargado del Tratamiento, siempre que no derive en un conflicto de intereses.

Designación voluntaria del DPO

La designación de un DPD cuando no sea obligatorio puede resultar conveniente, debido a la complejidad que conlleva en algunos supuestos el nuevo enfoque del RGPD (principio de responsabilidad proactiva del responsable del tratamiento en el ámbito de protección de datos) de sus principios y obligaciones, como por el impacto material que tienen las multas por su infracción.

Además, podrá designarse un único DPD para dar cobertura a un grupo empresarial, siempre que resulte accesible para todas las partes involucradas/afectadas poniendo de relieve su función de intermediario.

 ¿Cuáles son las obligaciones del Responsable o Encargado del Tratamiento en relación con el DPD?

  • Facilitar todos los recursos al DPD para que pueda ejercer sus funciones.
  • Apoyar el DPD para que pueda ejercer sus funciones.

 Derechos de los afectados en relación con el DPD

Los interesados podrán contactar con el DPD para gestionar cualquier tema relacionado con el tratamiento de sus datos personales; también podrán ejercer los derechos que les aporta el RGPD.