Funciones y posición del Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 05/12/2019
Funciones del delegado de protección de datos (DPO)
Las funciones del Delegado de Protección de Datos, que serán de información, asesoramiento y supervisión, podemos encontrarlas especificadas en el artículo 39 del RGPD y 34 y siguientes de la Ley Orgánica 3/2018, así como en el documento Directrices los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.
El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo, tendrá un delegado de protección de datos. Estas son las siguientes:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
El DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros y desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Además, el artículo 37 de la LOPDGDD establece que el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.
Posición del delegado dentro de la entidad.
Tal y como establece el artículo 38 del RGPD, el desempeño por parte del delegado de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el encargado del tratamiento, quienes deberán de facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. En especial deberán tenerse en cuenta los siguientes aspectos:
- Apoyo activo a la labor del DPD por parte de la alta dirección.
- Tiempo suficiente para que el DPD cumpla con sus funciones.
- Apoyo en cuanto a recursos financieros, infraestructura, recursos y personal necesarios de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
- Comunicación oficial de la designación a todo el personal para garantizar que si existencia y función se conozcan en la organización.
- Formación continua.
- En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un grupo de personas que trabaje para dicha entidad podrá ejercer las funciones como equipo, bajo la responsabilidad de un contacto principal designado para el cliente.
Todo ello se traduce en el índice de dificultad del tratamiento de datos dentro de la empresa, pues conforme vaya incrementando la complejidad de éste, serán sumamente necesarios un mayor número de recursos. En definitiva, el ejercicio de protección de datos ha de llevarse de manera eficaz, por lo que necesitará de los recursos suficientes para el tratamiento que se esté llevando a cabo.
Es destacable que el Delegado de Protección de Datos, o su equipo, sean partícipes desde el principio en todas las cuestiones relativas a la protección de datos. Respecto a la evaluación de impacto, el RGPD menciona que el responsable del tratamiento tendrá que recabar el asesoramiento del Delegado de Protección de Datos al realizar la mencionada evaluación de impacto. Se entiende que la comunicación, la información y y consulta al DPD desde la etapa más temprana resulta vital para el buen cumplimiento del RGPD, lo que producirá un entorno de privacidad desde los cimientos. Como ya hemos mencionado anteriormente, el DPD deberá actuar como interlocutor dentro de la empresa y formará parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización.
En este mismo sentido, tanto el responsable como el encargado del tratamiento, deberán garantizar que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos. Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización. Por ello, tal y como indica el GT29, la organización deberá garantizar, por ejemplo, que:
- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
- Se recomienda que esté presente cuando se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.
- La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
El hecho de que el delegado de protección de datos pueda formar parte de la entidad no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, lo delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
En este sentido, el apartado 3º del artículo 38, ;RGPD, es claro al señalar que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. No obstante, esto no significa que pueda adoptar decisiones más allá de sus funciones.
El delegado de protección de datos podrá desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses y estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones. Esto quiere decir que el DPD ha de realizar sus funciones de manera independiente y como sujeto independiente, por lo que no se debe de instriur al mismo sobre como abordar un asunto. Tampoco se podrá adoctrinar al DPD para que mantenga una u otra postura respecto a la normativa de protección de datos. Esta autonomía del DPD se limita en sus propias funciones, descritas en el artículo 39 del RGPD.
Igualmente, el artículo 36 de la LOPDGDD, estipula que el DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Igualmente no podrá ser removido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave en su ejercicio.
En el ejercicio de sus funciones el DPD tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.
Finalmente, el apartado 4 del artículo 36 de la LOPDGDD indica que, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Medidas, subvenciones y restricciones COVID-19 por CCAA
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia SOCIAL Nº 603/2020, TSJ Canarias, Sala de lo Social, Sec. 1, Rec 8/2020, 30-06-2020
Orden: Social Fecha: 30/06/2020 Tribunal: Tsj Canarias Ponente: Rodriguez Castro, Carmen Maria Num. Sentencia: 603/2020 Num. Recurso: 8/2020
-
Sentencia Supranacional TJUE, 25-01-2021
Orden: Supranacional Fecha: 25/01/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Administrativo Nº S/S, AN, Sala de lo Contencioso, Sec. 1, Rec 517/2004, 18-05-2006
Orden: Administrativo Fecha: 18/05/2006 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Lourdes Num. Sentencia: S/S Num. Recurso: 517/2004
-
Sentencia ADMINISTRATIVO Nº 121/2019, TS, Sala de lo Contencioso, Sec. 3, Rec 627/2018, 05-02-2019
Orden: Administrativo Fecha: 05/02/2019 Tribunal: Tribunal Supremo Ponente: Bandres Sanchez Cruzat, Jose Manuel Num. Sentencia: 121/2019 Num. Recurso: 627/2018
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 03/02/2020
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...
-
Responsabilidad y certificación del Delegado de Protección de Datos
Orden: Administrativo Fecha última revisión: 05/12/2019
La certificación no será un requisito indispensable para el acceso a la profesión de DPD, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD. Per...
-
Infracciones en materia de protección de datos (LOPDGDD y RGPD)
Orden: Administrativo Fecha última revisión: 23/01/2019
Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74). Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...
-
Delegado de Protección de Datos (DPO)
Orden: Administrativo Fecha última revisión: 05/12/2019
La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la LOPDGDD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la...
-
Sanciones y medidas correctivas en materia de protección de datos
Orden: Administrativo Fecha última revisión: 28/01/2019
El artículo 84 del RGPD en cuanto a las sanciones establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83.Como indicamos, el artículo 84 del RG...
-
Modelo de cláusula informativa sobre videovigilancia (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
INFORMACIÓN SOBRE VIDEOVIGILANCIA: Responsable[NOMBRE_EMPRESA] - NIF/CIF: [NUMERO] - Teléfono de contacto: [NUM_TLF] - Correo electrónico: [CORREO_ELECTRONICO] - Dirección: [DIRECCION], [POBLACION], [CODIGO_POSTAL], [PROVINCIA].(1)Actividad de ...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 16/04/2018
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
-
Caso práctico: ¿Puede una empresa de gestión de deuda ponerse en contacto con mis familiares o amigos?
Fecha última revisión: 23/05/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) (25/05/2018) implicará, para aquellas empresas u organizaciones que tratan datos, la realización de un nece...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
PLANTEAMIENTOUn familiar ha recibido una llamada telefónica de una empresa de gestión de cobro, preguntando por mí. ¿ Pueden hacerlo, o esta llamada constituye una vulneración de la normativa de protección de datos personales?RESPUESTARespecto ...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 01/08/2018
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 04/07/2018
-
Resolución de 11 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Madrid nº 29, por la que deniega la expedición de una certificación del historial completo de determinada finca registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 11/06/2018