Entrar

Delegado de Protección de Datos / Data Protection Officer (DPD/DPO)

Una de las figuras novedosas que introduce el RGPD es la designación del DPO.

La relevancia y peso que adquiere esta figura en el RGPD es máxima, donde podrá ser una persona física o jurídica e interna o externa a la Organización cuya designación se debe comunicar a la Agencia Española de Protección de Datos (AEPD), en calidad de máxima autoridad reguladora en la materia.

El DPO, según el RGPD en su artículo 38, se le deriva una posición de vital importancia dentro de las Organizaciones, hasta el punto de rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Además, en su artículo 37 se indica que este deberá de poseer conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones de DPO en la Organización, por lo que es fundamental que el DPO posea una óptima combinación de conocimientos y experiencia en materia de privacidad.

Otra de las novedades que incorpora el nuevo RGPD, es el procedimiento de urgencia cuando la AEPD considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses.

¿Cuáles son las funciones del Delegado de Protección de Datos (DPO)?

El artículo 39 del RGPD establece que serán:

  1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
  4. cooperar con la autoridad de control.
  5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Así, podríamos desglosar las funciones del Delegado de Protección de Datos en:

  1. Informar, asesorar y sensibilizar al responsable de la empresa y a sus trabajadores de las obligaciones que deben cumplir, en particular en relación a las medidas técnicas y organizativas de seguridad respecto de los datos personales que tratan de sus clientes, trabajadores… y documentarlo.
  2. Supervisar la implementación y aplicación de las políticas de la empresa en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación de los trabajadores y las auditorías correspondientes.
  3. Supervisar la implementación y aplicación de la normativa, en particular por lo que hace referencia a los requisitos relativos a la protección de datos desde el diseño, es decir, la protección de datos por defecto y la seguridad de los datos.
  4. Atender las peticiones de información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos de conformidad con la legislación de protección de datos.
  5. Velar por la conservación de la documentación que contenga datos personales.
  6. Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la normativa.
  7. Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte de la empresa y la presentación de solicitudes de autorización o consultas previas, si fueran necesarias de conformidad con el reglamento.
  8. Supervisar la respuesta a las solicitudes de la Agencia Española de Protección de Datos y cooperar con la misma a solicitud de ésta o a iniciativa propia.
  9. Actuar como punto de contacto para la Agencia Española de Protección de Datos (autoridad de control) sobre las cuestiones relacionadas con el tratamiento y consultar con la misma, si procede, a iniciativa propia.
  10. Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la Agencia Española de Protección de Datos.

¿Quién está obligado a nombrar DPO?

  1. Autoridades y organismos públicos.
  2. Organizaciones con actividades principales de tratamiento habitual y sistemático de interesados a gran escala.
  3. Organizaciones con actividades de tratamiento a gran escala de datos sensibles, de categorías especiales o relacionadas con condenas o delitos penales.

Por ejemplo, algunas de las empresas que necesitaran contratar a un DPO son: centros docentes, empresas de seguridad privada, centros sanitarios, compañías de seguros, empresas de prestación de servicios de comunicaciones electrónicas y de la sociedad de la información, algunos colegios profesionales, entidades financieras, empresas de inversión, entidades de crédito, servicios de inversión, solvencia patrimonial, publicidad, juego electrónico, distribuidores y comercializadores de suministros energéticos, etc.

¿Puedo incurrir en sanción sino designo un Delegado de Protección de Datos?

La no designación de un Delegado de Protección de Datos supondrá una infracción del RGPD. El anteproyecto de LOPD es su artículo 73 tipifica dicha obligación como una infracción considerada grave: “t) El incumplimiento de la obligación de designar un Delegado de Protección de Datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 33 del anteproyecto.”

La vulneración de las disposiciones relativas al DPO, y en especial, su no designación cuando proceda es considerada como sanción grave por la nueva normativa siendo su importe de hasta 10.000.000 EUR o el 2% del volumen total anual global de la facturación del año anterior.

Finalmente, el artículo 36.3.d) establece que el Responsable de Tratamiento facilitará los datos de contacto del DPO. El anteproyecto de LOPD establece que el Responsable gozará de un plazo de 10 días para facilitar los datos de contacto.

¿Necesita un Delegado de Protección de Datos?

El DPO es una figura muy importante para la protección de datos. Si bien es cierto que solo es obligatorio en ciertos casos, nuestra recomendación como expertos en la materia es que un gran número de entidades no obligadas a ello deberían contar con esta figura.

Si necesita contratar un DPO externo, en Denemax Consulting le ofrecemos la posibilidad de contratarlo y contar con nuestro departamento jurídico formado por personal especializado que podrán ejercer como tales ajustándose a las necesidades de su entidad.

Solicite presupuesto

Adaptación LOPD
Contacte con nosotros para exponernos su caso o pedir un presupuesto totalmente personalizado. Tenemos la solución integral de adaptación LOPD cualesquiera sean las circunstancias de su empresa. La experiencia y profesionalidad de nuestra plantilla le garantiza un servicio de la máxima calidad.