El Delegado de Protección de Datos (el “DPD”) es la persona, física o jurídica, encargada de garantizar el cumplimiento de la normativa en materia de protección de datos dentro de una organización. Esta figura aparece con la aprobación del Reglamento UE 2016/679; el comúnmente denominado Reglamento General de Protección de Datos (“RGPD”).
Funciones del DPD
De acuerdo con el RGPD, el DPD tendrá, como mínimo, las siguientes funciones:
Informar y asesorar sobre las obligaciones que le incumben a su organización, de acuerdo con la normativa de protección de datos.
Supervisar el cumplimiento de lo dispuesto en la legislación de protección de datos y de las políticas del responsable o del encargado del tratamiento, incluida la asignación de responsabilidades, la concienciación y formación del personal o la realización de las auditorías correspondientes.
Ofrecer asesoramiento acerca de las posibles evaluaciones de impacto de protección de datos y supervisar su aplicación.
Cooperar y actuar como punto de contacto entre su organización y la autoridad de control (la Agencia de Protección de Datos).
Ventajas de contar con un DPD en su empresa
Es recomendable que las empresas, aunque no se encuentren dentro de los supuestos obligatorios, valoren contar con un DPD, para asegurarse del correcto tratamiento de la información y los datos recogidos de los usuarios y/o consumidores.
La organización estará actualizada con respecto a la protección de datos de forma continuada.
El DPD podrá ser un punto de apoyo en caso de gestionar brechas de seguridad o reclamaciones de consumidores, proveedores y usuarios, así como a la hora de responder a posibles denuncias o actuaciones por parte de las autoridades competentes en la materia.
La designación de un DPD supone un indicio, tanto de cara al mercado como a las autoridades, de la sensibilización de la organización con el respeto al cumplimiento de la normativa de protección de datos.
¿Cuándo es obligatorio un DPD?
En muchos casos la designación de un DPD será meramente voluntaria, esto es, la organización podrá decidir si designar o no un DPD a la vista de las ventajas anteriormente señaladas.
No obstante, según lo señalado por el RGPD, se deberá designar a un DPD en los casos en los que:
El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
Las actividades principales de la organización consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Asimismo, la reciente Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) estipuló, específicamente, aquellas entidades que deberán contar con un DPD. En caso de que su empresa se encuentre dentro de alguno de estos casos será obligatorio que cuente con un DPD para supervisar y ser el encargado del cumplimiento de la normativa de protección de datos de su empresa.
Los colegios profesionales y sus consejos generales.
Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
Los establecimientos financieros de crédito.
Las entidades aseguradoras y reaseguradoras.
Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
Las entidades responsables de ficheros para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
Los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles.
Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
Las empresas de seguridad privada.
Las federaciones deportivas cuando traten datos de menores de edad.
¿Quién puede ser DPD?
Podrán ser contratados como DPD aquellas personas que cuenten con conocimientos especializados en derecho, en particular, en la práctica en materia de protección de datos, así como tengan la capacidad suficiente para desempeñar las funciones de un DPD, conforme señala el RGPD.
La función del DPD puede ser llevada a cabo tanto por un trabajador de la organización como por una persona o una empresa subcontratada para la prestación de tales servicios.
Nombramiento de un DPD
La empresa que contrate a un DPD deberá comunicar su nombramiento a la Agencia Española de Protección de Datos (“AEPD”). La AEPD facilita, mediante su Sede Electrónica, un procedimiento para que las Administraciones Públicas y las entidades privadas puedan comunicar este nombramiento de manera fácil y rápida.
