Delegado de Protección de Datos (DPO)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

Una de las novedades introducidas por el RGPD es la instauración de la figura del "delegado de protección de datos" (en inglés Data Protection Officer). Así, el artículo 37 del RGPD incorpora la obligatoriedad de designar un Delegado de Protección de Datos en determinados supuestos y en todo caso, de modo más específico, en los contemplados en el artículo 34 de la LOPDGDD.

El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un DPD. En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí). Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

Pues bien, atendiendo a lo dispuesto en el considerando 97, el delegado de protección de datos puede ser definido como una persona que participa en la supervisión de la observancia del Reglamento que se exige a el responsable o encargado del tratamiento ayudándolos en el cumplimiento del mismo. Concretamente, el citado considerando señala: «Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales»

En todo caso, y pese a que -como señala el Reglamento- en determinados supuestos la designación de un delegado de datos resulta obligatoria, cabe destacar que en otros supuestos, tal designación puede acordarse de forma voluntaria, quedando al arbitrio bien del responsable bien del encargado del tratamiento, el nombramiento o no, de dicha figura como una medida más de responsabilidad activa.

Con respecto a los criterios que deberán de tenerse en cuenta al objeto de designar el delegado de protección de datos, el apartado 5 del artículo 37 del RGPD - en la línea de lo señalado por el considerando Art. 97 - , determina que la designación de efectuarse atendiendo a sus cualificaciones profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar las funciones indicadas en el artículo 39.

Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea. Por otra parte, resulta necesario tomar en consideración que el nivel de conocimientos especializados necesarios se deberá determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.
 
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes, en el plazo de 10 días.
Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. Además, cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
 
La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:
• total autonomía en el ejercicio de sus funciones
• necesidad de que se relacione con el nivel superior de la dirección
• obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad
 
Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios. Es decir, permite que pueda contratarse el servicio de DPD con personas físicas o jurídicas ajenas a la organización. Igualmente está permitido que desarrolle sus funciones a tiempo completo o parcial, según las necesidades, si bien en caso de que sea a tiempo parcial es necesario evitar que existan conflictos de intereses.
 
Además, tal y como indica el GT29, "El DPD, ya sea obligatorio o voluntario, se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento".

No hay versiones para este comentario

Delegado de protección
Encargado del tratamiento
Protección de datos
Persona física
Tratamiento de datos personales
Persona jurídica
Responsable del tratamiento
Actividades de tratamiento de datos
Datos personales
Categorías especiales de datos
Datos personales relativos a condenas e infracciones penales
Organismos públicos
Agrupaciones de empresas
Contratos de servicios
Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados