Responsabilidad y certificación del delegado de protección de datos en el RGPD y en la LOPDGDD
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
En lo que refiere a la responsabilidad del DPD, la ley no hace mención expresa al respecto. No obstante, el artículo 24, apartado 1, del RGPD regula la responsabilidad del responsable del tratamiento. Este precepto dispone que es el responsable del tratamiento quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que el tratamiento se realiza conforme al RGDP.
De la lectura de esta norma se concluye que el responsable debe responder ante posibles sanciones que se impongan al DPD o indemnizaciones exigidas por el interesado a consecuencia de daños y perjuicios por infracción del RGPD. Es más, el artículo 70, apartado 2, de la LOPDGDD excluye de la aplicación del régimen sancionador a los delegados de protección de datos.
Consultando la sede electrónica de la AEPD, y suscribiendo sus palabras «el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones».
En definitiva, el DPD no es responsable personalmente en caso de incumplimiento del RGPD y de la LOPDGDD. Sus funciones presentan un carácter colaborativo y de apoyo, no determinante en cuanto a toma de decisiones. No obstante, existe un riesgo en esta figura al estar sumamente expuesta a la exigibilidad de la responsabilidad. De ahí la función o posición que se le encomienda en el artículo 36, apartado 4, de la LOPDGDD, pues ante posible vulneración relevante en materia de protección de datos, el DPD debe documentarlo o comunicarlo a los órganos de administración y dirección del responsable o el encargado del tratamiento.
Certificación del DPDEs mandato del artículo 42 del RGPD que los Estados miembros, autoridades de control, el Comité y la Comisión deben promover la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos para demostrar el cumplimiento de lo dispuesto en el mencionado reglamento.
Como norma general no se exige certificación para el ejercicio de las funciones como DPD. No obstante, la AEPD ha considerado necesario promover un sistema de certificación (o esquema de certificación) de profesionales de protección de datos para poder evaluar los candidatos a DPD en función de sus cualificaciones profesionales y conocimientos requeridos. El esquema de certificación exige experiencia o formación reconocida como prerrequisito a tal candidatura.
Así, el propio artículo 35 de la LOPDGDD dispone que el cumplimiento de los requisitos que exige el artículo 37, apartado 5, del RGPD (conocimientos en derecho y la práctica en materia de protección de datos) para ser DPD, se puede demostrar a través de otros medios como mecanismos voluntarios de certificación que tendrán en cuenta tales conocimientos.
De esta forma, el artículo 39 de la LOPDGDD establece que «sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación».
CUESTIONES
1. ¿Qué es la formación reconocida que se establece en el Esquema de certificación como prerrequisito al candidato a DPD?
En el esquema se recogen los requisitos necesarios para que las entidades de certificación reconozcan un programa de formación impartido por una entidad de formación. Así, se exigirá a los programas de formación que:
- Han de respetar la duración de la formación requerida (60, 100 y 180 horas).
- Deben impartir la materia de acuerdo con el programa definido en el esquema (tres dominios de conocimiento con porcentaje respectivo de 50 %, 30 % y 20 %).
- Se valida la formación mediante un examen.
- Presente un método didáctico que incluya: impartición de conocimientos teóricos, prácticos y ejercicios en grupo.
Fuente: página web AEPD.
2. ¿Cuáles son las entidades de certificación?
Las certificaciones deben ser otorgadas por entidades debidamente acreditadas por la Entidad Nacional de Acreditación (ENAC), conforme a la norma UNE-EN ISO/IEC 17024:2012 (ISO 17024) y en el ámbito de la aplicación del esquema de certificación de delegados de protección de datos, atendiendo a criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.
La AEPD ha publicado una relación de entidades de certificación acreditadas por la ENAC, que son:
- IVAC INSTITUTO DE CERTIFICACIÓN, S.L.
- ASOCIACIÓN PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS FORUM.
- CENTRO DE REGISTRO Y CERTIFICACIÓN DE PERSONAS (CERPER).
- ANF AUTORIDAD DE CERTIFICACION ASOCIACION, ANF AC.
- CUALICONTROL - ACI, S.A. (Unipersonal).
- ADOK CERTIFICACIÓN INTERNACIONAL, S.L.
- BUREAU VERITAS IBERIA, S.L.
Fuente: página web AEPD.
Fundamento jurídico: art. 39 de la LOPDGDD.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Civil Nº 364/2014, AP - Barcelona, Sec. 16, Rec 99/2012, 17-07-2014
Orden: Civil Fecha: 17/07/2014 Tribunal: Ap - Barcelona Ponente: Rallo Ayezcuren, Marta Num. Sentencia: 364/2014 Num. Recurso: 99/2012
-
Sentencia Supranacional Nº C-319/20, TJUE, 28-04-2022
Orden: Supranacional Fecha: 28/04/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-319/20
-
Sentencia Supranacional TJUE, 06-12-2021
Orden: Supranacional Fecha: 06/12/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional TJUE, 24-01-2022
Orden: Supranacional Fecha: 24/01/2022 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia SOCIAL Nº 603/2020, TSJ Canarias, Sala de lo Social, Sec. 1, Rec 8/2020, 30-06-2020
Orden: Social Fecha: 30/06/2020 Tribunal: Tsj Canarias Ponente: Rodriguez Castro, Carmen Maria Num. Sentencia: 603/2020 Num. Recurso: 8/2020
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
Funciones y posición del delegado de protección de datos (DPD) en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
Las funciones del delegado de protección de datos y su posición se regulan en los artículos 38 y 39 RGPD, así como en el artículo 36 y 37 de la LOPDGDD. C¿Cuáles son las funciones del delegado de protección de datos?Partiendo de lo dispue...
-
¿Es necesario un DPD en un despacho de abogados o procuradores?
Orden: Administrativo Fecha última revisión: 15/02/2022
«1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judici...
-
Sanciones y medidas correctivas en materia de protección de datos
Orden: Administrativo Fecha última revisión: 21/07/2021
El artículo 84 del RGPD, en cuanto a las sanciones, establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83 del referido reglamento.En el sistem...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO] Teléfono: [NÚM_TLF] - Correo electrónico: [CORREO_ELECTRÓNICO]Dirección postal: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CLÁUSULA DE CONSENTIMIENTO CON TRANSFERENCIA INTERNACIONAL D...
-
Modelo de cláusula informativa sobre videovigilancia
Fecha última revisión: 20/05/2022
INFORMACIÓN SOBRE VIDEOVIGILANCIA Responsable del tratamientoNombre y datos de contacto del responsable (o su representante) (1)Actividad de tratamientoVideovigilanciaLegitimación del tratamientoArtículo 6.1.a del RGPD: Consentimiento del intere...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Modelo de contrato de encargo de tratamiento entre dos abogados
Fecha última revisión: 20/05/2021
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCERODe una parte, [NOMBRE] (en adelante, RESPONSABLE del tratamiento), con domicilio profesional en la calle [CALLE], con DNI [DNI], que comparece en su propio nombre y representación.Y de...
-
Caso práctico: ¿Es necesario el consentimiento de los interesados (estudiantes y profesores) para clases y exámenes online?
Fecha última revisión: 07/06/2022
-
Caso práctico: ¿Puede una empresa de gestión de deuda ponerse en contacto con mis familiares o amigos?
Fecha última revisión: 01/06/2022
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 26/01/2022
-
Caso práctico: ¿Se considera un dron una cámara de videovigilancia a efectos de la protección de datos?
Fecha última revisión: 07/06/2022
PLANTEAMIENTOUna persona que, en principio, asiste en modalidad presencial a unas clases universitarias se pregunta si, desde la perspectiva de la protección de datos, se pueden dar estas clases y hacer los exámenes en modalidad online sin que medi...
PLANTEAMIENTOUn familiar ha recibido una llamada telefónica de una empresa de gestión de cobro preguntando por mí. ¿Pueden hacerlo, o esta llamada constituye una vulneración de la normativa de protección de datos personales?RESPUESTALa Agencia ...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación...
PLANTEAMIENTOUna empresa que se dedica a operar con drones quiere saber si se les ha de dar el mismo tratamiento que a las cámaras de videovigilancia o no, toda vez que en las grabaciones pueden aparecer personas, matrículas de vehículos, etc.RESP...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 30 de mayo de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra las notas de calificación extendidas por la registradora de la propiedad de Ledesma por la que se deniega la expedición de notas simples relativas a determinadas fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 30/05/2014
-
Resolución de 23 de enero de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de San Javier n.º 1 a la emisión de una certificación telemática.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 23/01/2018
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018