Funciones y posición del Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

Las funciones del delegado de protección de datos y su posición se regulan en los arts. 38 y 39 RGPD, así como en el artículo 36 y 37 de la nueva LOPDGDD.

 

 

Funciones del delegado de protección de datos (DPO)

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo, tendrá un delegado de protección de datos. Estas son las siguientes:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD;
  • cooperar con la autoridad de control;
  • actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros y desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Además, el artículo 37 de la LOPDGDD establece que el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

 

Posición del delegado dentro de la entidad.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del delegado de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el encargado del tratamiento, quienes deberán de facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. En especial deberán tenerse en cuenta los siguientes aspectos:

- apoyo activo a la labor del DPD por parte de la alta dirección

- tiempo suficiente para que el DPD cumpla con sus funciones

- apoyo en cuanto a recursos financieros, infraestructura, recursos y personal necesarios de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.

- comunicación oficial de la designación a todo el personal para garantizar que si existencia y función se conozcan en la organización

- formación continua y

- en función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un grupo de personas que trabaje para dicha entidad podrá ejercer las funciones como equipo, bajo la responsabilidad de un contacto principal designado para el cliente.

En este mismo sentido, tanto el responsable como el encargado del tratamiento, deberán garantizar que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos. Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización. Por ello, tal y como indica el GT29, la organización deberá garantizar, por ejemplo, que:

- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.

- Se recomienda que esté presente cuando se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.

- La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.

- Se consulta al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

El hecho de que el delegado de protección de datos pueda formar parte de la entidad no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, lo delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

En este sentido, el apartado 3º del artículo 38;RGPD, es claro al señalar que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. No obstante, esto no significa que pueda adoptar decisiones más allá de sus funciones.

El RGPD prohíbe las sanciones únicamente si se imponen como resultado del desempeño de las funciones del DPD, si bien podrá ser destituido legítimamente por motivos distintos del desempeño de sus funciones. Deberá tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta con la falta de ascensos, impedimento de su promoción profesional o denegandole prestaciones que otros empleados sí reciben. Además, no es necesario que dichas sanciones se impongan realmente, una simple amenaza es suficiente siempre que se utilice para penalizar al DPD por motivos relacionados con el desarrollo de sus actividades. De cualquier modo, como indicamos, cualquier tipo de sanción estaría prohibida.
 

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses y estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

Igualmente, el artículo 36 de la LOPDGDD, estipula que el DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Igualmente no podrá ser removido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave en su ejercicio.

En el ejercicio de sus funciones el DPD tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

Finalmente, el apartado 4 del artículo 36 de la LOPDGDD indica que, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

 

No hay versiones para este comentario

Delegado de protección
Protección de datos
Encargado del tratamiento
Actividades de tratamiento de datos
Autoridad de control de datos
Datos personales
Evaluación de impacto en protección de datos
Acceso a datos personales
Alta dirección
Formación continua
Responsable del tratamiento
Violación de la seguridad de los datos personales
Amenazas
Promoción profesional
Conflicto de intereses
Órganos de administración
Dolo
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Responsabilidad y certificación del Delegado de Protección de Datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    La certificación no será un requisito indispensable para el acceso a la profesión de DPD, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD. Per...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Delegado de Protección de Datos (DPO)

    Orden: Administrativo Fecha última revisión: 07/02/2019

    La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la...

  • Sanciones y medidas correctivas en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El artículo 84 del RGPD en cuanto a las sanciones establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83.Como indicamos, el artículo 84 del RG...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados