Delegado de Protección de Datos (DPO)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 05/12/2019

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

Una de las novedades introducidas por el RGPD es la instauración de la figura del "delegado de protección de datos" (en inglés Data Protection Officer). Así, el artículo 37 del RGPD incorpora la obligatoriedad de designar un Delegado de Protección de Datos en determinados supuestos y en todo caso, de modo más específico, en los contemplados en el artículo 34 de la LOPDGDD.

Se designará un Delegado de Protección de Datos o Data Protection Officer, siempre y en todo caso:

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. En caso de que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del RGPD y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD
El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un DPD. En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí). Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

Pues bien, atendiendo a lo dispuesto en el considerando 97, el delegado de protección de datos puede ser definido como una persona que participa en la supervisión de la observancia del Reglamento que se exige a el responsable o encargado del tratamiento ayudándolos en el cumplimiento del mismo. Concretamente, el citado considerando señala: «Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales»

En todo caso, y pese a que -como señala el Reglamento- en determinados supuestos la designación de un delegado de datos resulta obligatoria, cabe destacar que en otros supuestos, tal designación puede acordarse de forma voluntaria, quedando al arbitrio bien del responsable bien del encargado del tratamiento, el nombramiento o no, de dicha figura como una medida más de responsabilidad activa.

Con respecto a los criterios que deberán de tenerse en cuenta al objeto de designar el delegado de protección de datos, el apartado 5 del artículo 37 del RGPD - en la línea de lo señalado por el considerando Art. 97 - , determina que la designación de efectuarse atendiendo a sus cualificaciones profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar las funciones indicadas en el artículo 39.

Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea. Por otra parte, resulta necesario tomar en consideración que el nivel de conocimientos especializados necesarios se deberá determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.
 
Respecto a la titulación, continuamos afirmando que, en la actualidad existen múltiples instituciones certificadoras que, por medio de cursos de formación, de mas o menos horas, dependiendo de la experiencia del interesado y un examen conceden la titulación específica que, aunque no sea de carácter obligatorio si aumenta el prestigio y las capacitaciones del interesado en ser Delegado de Protección de Datos.
 
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes, en el plazo de 10 días.
En el caso de que exista un grupo empresarial interesado en nombrar un único Delegado de Protección de Datos, el RGPD establece que será viable siempre que el mismo sea fácilmente accesible desde cada establecimiento. De igual forma ocurre cuando el encargado o responsable sea una autoridad u organismo público, ya que se podrá designar un único Delegado de Protección de Datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
 
La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:
• Total autonomía en el ejercicio de sus funciones.
• Necesidad de que se relacione con el nivel superior de la dirección.
• Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
 
Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios. Es decir, permite que pueda contratarse el servicio de DPD con personas físicas o jurídicas ajenas a la organización. Igualmente está permitido que desarrolle sus funciones a tiempo completo o parcial, según las necesidades, si bien en caso de que sea a tiempo parcial es necesario evitar que existan conflictos de intereses.
 
Además, tal y como indica el GT29, "El DPD, ya sea obligatorio o voluntario, se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento".
 
En lo referente a las funciones del Delegado de Protección de Datos podemos realizar la siguiente clasificación conforme al artículo 39 del RGPD:
 
  1. El Delegado de Protección de Datos estará obligado a informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y la LOPDGDD.
  2. Además deberá supervisar el cumplimiento de lo dispuesto en el RGPD y en la LOPDGDD y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  3. Tendrá que ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  4. Una de sus principales funciones será la de cooperar con la autoridad de control.
  5. Por último, deberá actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
 
 

No hay versiones para este comentario

Delegado de protección
Encargado del tratamiento
Actividades de tratamiento de datos
Datos personales
Protección de datos
Categorías especiales de datos
Datos personales relativos a condenas e infracciones penales
Tratamiento de datos personales
Persona física
Organismos públicos
Persona jurídica
Responsable del tratamiento
Agrupaciones de empresas
Contratos de servicios
Autoridad de control de datos
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados