¿Qué es un delegado de protección de Datos (DPD/DPO)?

Un Delegado de Protección de Datos es una figura especializada en derecho, con práctica en materia de protección de datos, que se encarga de garantizar el cumplimiento de la normativa en la organización y gestionar la adecuación constante de la empresa a la misma. 

La normativa de protección de datos establece el contenido mínimo de las funciones de un DPD.

Destacamos, entre otras: 

  • Informar y asesorar al responsable o encargado de tratamiento y a sus empleados.
  • Supervisar el cumplimiento de la normativa.
  • Realizar auditorías.
  • Cooperar con la Autoridad de Control (en el caso de España, con la AEPD).
  • Atender a los interesados, sobre todo en el ejercicio de sus derechos.
  • Rol mediador.
  • Etc.

En resumen, el DPD deberá SUPERVISAR, CONTROLAR Y REVISAR que la empresa cumpla con la normativa de protección de datos. 

¿Es obligatorio nombrar a un Delegado de Protección de Datos?

El RGPD establece SUPUESTOS TASADOS en los que resulta obligatorio el nombramiento de un DPD (artículo 37 RGPD). A saber: 

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, salvo los tribunales en el ejercicio de su función judicial.
  2. Cuando se requiera para la realización de la actividad principal la observación habitual y sistemática de los interesados.
  3. Cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos. 

La LOPDGDD regula en su artículo 34 un catálogo más amplio de ENTIDADES que están obligadas a la designación de un DPD -por ejemplo, los centros docentes, las entidades aseguradoras, las empresas de seguridad privada, etc-. 

Fuera de estos casos, la designación de un DPD es VOLUNTARIA. 

¿Quién puede ejercer la función de Delegado de Protección de Datos en mi empresa?

Esta figura puede estar integrada en el organigrama empresarial (ser un miembro de la plantilla), o bien ser un profesional externo, pero siempre deberá mantener su independencia – art. 38.6 RGPD:

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”-. 

En ambos casos, es recomendable que sea el órgano de administración de la sociedad quien nombre al DPD (sobre todo, para asegurar su independencia) y documentar dicho nombramiento.

Por otro lado, es obligatorio comunicar el nombramiento y, en su caso, el cese del DPD, a la AEPD -en el plazo de 10 días a través de la sede electrónica- y a los interesados -incluyendo su información de contacto en las cláusulas informativas-.

¿Qué significa que el Delegado de Protección de Datos tiene que ser independiente?

Quiere decir que el responsable o el encargado de tratamiento deberán asegurar que el DPD: 

  • No reciba ninguna instrucción para el desempeño de sus funciones.
  • No sea sancionado ni removido de su puesto por el desempeño de sus funciones, salvo cuando exista dolo o negligencia grave. 
  • Tenga acceso a los datos personales y medios de tratamiento, y no se le impida la comunicación de posibles vulneraciones a la AEPD. 
  • No existan conflictos de intereses en su cargo de DPD y el desarrollo de otras funciones. 

¿Cuándo podrá existir un conflicto de intereses?

Por ejemplo, si el DPO de mi empresa es un miembro de mi plantilla, éste no podrá desarrollar funciones que determinen los fines y medios del tratamiento de los datos personales (p.e. se el director de marketing o de RRHH, tener puestos de dirección, entre otros).

*Dato importante para abogados:

No se podrá representar a una empresa ante los tribunales, en materia de protección de datos, si desempeñamos las funciones de DPD para la misma. 

¿El Delegado de Protección de Datos es el Responsable de seguridad (RSEG) de la empresa?

No, la AEPD se ha pronunciado en este sentido (Informe AEPD 2018-0170), estableciendo que, con carácter general, un DPD no puede ejercer las funciones de un Responsable de Seguridad (art. 10 ENS), por los siguientes motivos principales: 

  1. El RSEG recibe órdenes de los responsables de la información (quienes determinan los requisitos de la información tratada) y el DPD debe realizar sus funciones de forma independiente, por lo que son puestos incompatibles.
  1. Sus objetivos son distintos. Mientras que el DPD persigue garantizar los derechos y libertades de las personas, el objetivo del RSEG es garantizar la seguridad de la información. 

¿Qué beneficios supone nombrar a un Delegado de Protección de Datos en mi empresa?

  • Crea un valor añadido a la empresa, ya que ofrece una garantía de seguridad y privacidad, alineado con la mayor concienciación de los interesados en materia de privacidad. Igualmente, puede ser una ventaja competitiva frente a la competencia. 
  • La digitalización e innovación han incrementado la complejidad legal de los tratamientos, por lo que cada vez es más necesario contar con un asesoramiento especializado.
  • Supone una evidencia del cumplimiento del principio básico de la actual normativa de protección de datos: el principio de accountability o responsabilidad proactiva.  
  • La designación voluntaria de un DPD está regulada como un criterio atenuante en la graduación de las sanciones que puedan imponerse (art. 76.2 LOPDGDD). 
  • La función principal del DPD es evitar situaciones en las que se evidencie un incumplimiento de las obligaciones básicas y esenciales, que están sujetas a una sanción de hasta 20 millones de euros. 
  • Puede ser un integrante/consejero muy necesario y diferencial en la toma de decisiones del negocio, tales como, la creación de nuevos proyectos, inicio de nuevas campañas, operaciones societarias (fusiones, adquisiciones…), conflictos con clientes y proveedores, etc. 

Bibliografía

  • Ley Orgánica de Protección de datos y Garantía de los derechos digitales. Edición especial. Wolters Kluver
  • Protección de datos. Manual práctico de ayuda para abogados. Alfonso Pacheco Cifuentes. 
  • https://xribas.com/

Creación:

Laura Cánovas Peláez
Laura Cánovas Peláez

Abogada especializada en derecho mercantil, privacidad y nuevas tecnologías

No hay comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *