Delegado de Protección de Datos (DPO)

Un Delegado de Protección de Datos (DPD/DPO) es aquella persona física o jurídica, responsable en el seno de una organización, de realizar la supervisión y monitorización, de forma independiente y confidencial, de si se está cumpliendo adecuadamente la normativa en materia de protección de datos personales. En consecuencia, deberá informar y asesorar a la entidad que lo designen y a los empleados de esta que traten datos personales de las obligaciones que les corresponden.

Por otro lado, ofrecerá todo el asesoramiento que se le solicite, colaborará con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos -AEPD-) y actuará como punto de contacto para todas las cuestiones que afecten a esta materia, ya provengan de esta autoridad o del propio titular de los datos personales que están siendo tratados.

Por lo tanto, está claro que la nueva normativa, convierte al DPO en una figura muy importante para la empresa. En consecuencia, para el buen desarrollo de sus funciones se le deberá dotar de los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad. Es importante indicar que el Delegado en Protección de datos, puede ser interno, es decir que pertenezca a los propios empleados de la empresa, o puede ser un profesional externo.

Se debe destacar también que los datos de contacto deben ser públicos, para que interesados y supervisores puedan contactar con él de manera directa y confidencial y que ha de comunicarse a la AEPD en el plazo máximo de 10 días desde su designación.

Entre las principales funciones que Grupo Adaptalia ofrece en el servicio de Delegado de Protección de Datos podemos encontrar:

  • Asistencia y representación de procedimientos ante la Agencia Española de Protección de Datos (AEPD): Si su organización es objeto de una reclamación o requerimiento de información, le asistimos en los trámites a llevar a cabo ante la AEPD, buscando las mejores soluciones para cumplir con las exigencias formales y legales con la autoridad de control y realizaremos todas las comunicaciones e intermediaciones necesarias para solucionar cualquier cuestión o trámites ante la misma.
  • Elaboración de informes de seguimiento periódicos: Se realizarán informes de seguimiento periódicos, de manera que su compañía pueda demostrar su diligencia con respecto al tratamiento de datos personales y garantizar la detección de posibles deficiencias, para solventarlas de manera previa a la materialización de un incidente.
  • Actuación como intermediario en caso de conflictos entre interesados y compañía: Se realizarán informes de seguimiento periódicos, de manera que su compañía pueda demostrar su diligencia con respecto al tratamiento de datos personales y garantizar la detección de posibles deficiencias, para solventarlas de manera previa a la materialización de un incidente.
  • Participación en reuniones Directivas: El DPO como garante independiente del derecho a la privacidad podrá asistir a las reuniones directivas en las que se planteen nuevos proyectos o tratamientos, con la finalidad de determinar y evaluar desde la fase inicial la adecuación a la normativa de protección de datos.

Servicios del Delegado de Protección de Datos

Funciones del Delegado de Protección de Datos 

Las Funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD, el cual, establece sus obligaciones mínimas, y es necesario lo siguiente:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de Protección de Datos.
  • Comprobar el cumplimiento del RGPD, incluida la asignación de responsabilidades, la concienciación y formación de los empleados que participan en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento necesario y relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna.
  • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
  • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice relativa a la protección de datos.
  • Asesorar a los empleados durante el tratamiento de datos.
  • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
  • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
  • Asignar responsabilidades entre los miembros de la organización, incluyendo los empleados, respecto a las obligaciones en materia de protección de datos.
  • La realización de acciones es necesario, así como acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
  • Formar a los empleados que participan en las operaciones de tratamiento de datos.
  • Supervisar las evaluaciones de impacto en la protección de datos.
  • Control, coordinación y verificación de las medidas de seguridad aplicables.
  • Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos.
  • Atender las consultas que los interesados realicen a las entidades, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
  • Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
  • Actuar como punto de contacto con la Agencia Española de Protección de Datos, es igualmente necesario, para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
  • Cooperar con la autoridad de control.

Delegado de Protección de datos (RGPD) 

El Reglamento general de protección de datos (RGPD) configura al Delegado de Protección de Datos (DPD) como una figura clave en el modelo de su cumplimiento, por lo tanto, es necesario que sea conocedor del Derecho y la práctica en materia de protección de datos, y esta estipulado en los artículos del 37 al 39, y como complemento y desarrollo del RGPD, por la LOPDGDD Española, en su Capítulo III, en los artículos de 34 al 37, en concreto.

El artículo 37.5 del RGPD dispone que el delegado de protección de datos será designado atendiendo a:

Sus conocimientos especializados del Derecho, la experiencia práctica en materia de protección de datos, su capacidad para desempeñar las funciones mínimas, entre otras.

A su vez la LOPDGDD Española, añade que esos requisitos podrán demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación, que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho.

Es importante señalar que el delegado de protección de datos no es responsable personalmente del cumplimiento de las reglas en materia de protección de datos personales, ya que su cumplimiento es responsabilidad del responsable/encargado del tratamiento.

¿Cuándo es obligatorio?

El Reglamento general de protección de datos (RGPD) configura al Delegado de Protección de Datos (DPD) como una figura clave en el modelo de su cumplimiento para lo que debe ser conocedor del Derecho y la práctica en materia de protección de datos. El RGPD establece en su artículo 37 cuando un responsable o encargado debe proceder a su designación:

  • El tratamiento se lleve a cabo por un organismo público o autoridad española, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Así mismo, el artículo 34 de la LOPDPGDD Española detalla los responsables y encargados que, en todo caso, han de proceder a la designación obligatoria de DPD:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Las entidades y/o prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, que presten servicios de ordenación, supervisión y solvencia de entidades de crédito.
  • Las entidades cuya actividad sea establecimientos financieros de crédito.
  • Las entidades que presten servicios como aseguradoras y reaseguradoras.
  • Las entidades que sean empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Las entidades cuyas actividades sean la prestación de servicios de distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades y servicios de publicidad y prospección comercial, incluyendo las entidades de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades y servicios que impliquen la elaboración de perfiles de las mismas.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

  • Las entidades que tengan como uno de sus objetos y servicios la emisión de informes comerciales que puedan referirse a personas físicas.
  • Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las entidades o empresas cuya actividad sean servicios de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.
  • Las entidades responsables o encargadas del tratamiento no incluidas en el párrafo anterior podrán designar de manera voluntaria un DPD que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la citada ley orgánica española.

El perfil del Delegado

La entidad responsable o encargada del tratamiento que designe un DPD tiene la obligación, de acuerdo con el artículo 37.7 del RGPD, y el artículo 34.3, 34.4 y 34.5 de la LOPDGDD Española.

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las entidades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

Certificación por la Autoridad de Control Española

La autoridad de control española (AEPD), siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación de Delegado de Protección de Datos para que los interesados en ejercer dicha posición puedan acreditarse.

La AEPD (Agencia Española de Protección de datos) y la ENAC (Entidad Nacional de Acreditación Española) son las principales impulsoras de este esquema de certificación.

No obstante, hay que destacar que esta certificación no será obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.

Base de Conocimientos Jurídicos

El artículo 37.5 del RGPD dispone que el delegado de protección de datos será designado atendiendo a:

Sus conocimientos especializados del Derecho, la experiencia práctica en materia de protección de datos, su capacidad para desempeñar las funciones mínimas, entre otras, y, además:

Conocimientos Jurídicos

A raíz de la referencia expresa a una titulación universitaria que hace la LOPDGDD, puede entenderse que el DPO en primer lugar deberá ser licenciado/graduado en Derecho.

No obstante, por la propia materia objeto de trabajo, también resulta muy importante que el DPO tenga un perfil conocimientos de carácter técnico, habida cuenta que, con las nuevas tecnologías, cualquier implantación de políticas de protección de datos, va a requerir de medio telemáticos que permitan desarrollarla, y por ello, está persona deberá colaborar de forma estrecha con quién preste el servicio técnico de página web, programas de gestión etc dentro de esa entidad.

Capacidad para ejecutar sus funciones mínimas

Esa capacidad en todo caso se refiere no sólo a su formación, conocimientos y aptitudes profesionales, sino también a su posición dentro de la estructura organizativa de la entidad.

Entre esas cualidades deberían estar presentes al menos:

  • Ética Profesional
  • Conocimientos sobre el sector empresarial y organización corporativa interna
  • Buena capacidad comunicativa, habilidad negociadora y trabajo en equipo
  • Manejo de diferentes idiomas
  • Proactividad
  • Independencia para trabajar sin supervisión continua

Experiencia práctica en Protección de Datos

Resulta evidente que, al margen de una titulación académica, es necesario llevar esos conocimientos que se han adquirido a la vida real. Es por esto, que la normativa aplicable nos requiere unos conocimientos de índole práctica que nos habiliten para ser nombrados como DPO, que a fin de cuentas será el asesor principal en materia de protección de datos de esa entidad.

De hecho, previamente, para poder certificarse como DPO, se deberán cumplir los prerrequisitos establecidos en el citado Esquema, acreditando la experiencia, conocimientos, y/o formación exigida en el mismo:

  • Experiencia en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos. Su valoración se realizará teniendo en cuenta que los 2, 3 o 5 años exigidos (dependiendo del caso) deben ser completos y su cómputo se evaluará sobre la base de 225 días y 8 horas de la jornada laboral, aplicando los criterios del Esquema.
  • Formación mínima reconocida de 60/100/180 horas en relación con las materias incluidas en el programa del Esquema.

Estos prerrequisitos pueden cumplirse a través de cuatro posibilidades:

  • 5 años de experiencia
  • 3 años de experiencia + 60 horas formación reconocida
  • 2 años de experiencia + 100 horas formación reconocida
  • 180 horas formación reconocida
 
FAQS

Preguntas Frecuentes

No queremos que le quede ninguna duda. Desde Grupo Adaptalia le aclaramos cualquier pregunta que le pueda surgir.

La propia organización. El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un delegado de protección de datos (DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí).

Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

El delegado de protección de datos personales o DPO, es el encargado de facilitar el cumplimiento del Reglamento general de protección de datos (RGPD) asesorando a los responsables de procesos con datos personales en la aplicación de elementos esenciales del mismo.

El DPO desempeña una función esencial en la divulgación y concienciación de una cultura de protección de datos, contribuyendo a la implementación de:

Los principios del RGPD, los derechos de los interesados, la protección de los datos desde el diseño y por defecto, el registro de actividades de tratamiento, la evaluación de los riesgos que el tratamiento de datos personales conlleva y la notificación y comunicación de las brechas de seguridad.

El DPO también actúa como interlocutor con el resto de las partes implicadas en el tratamiento de datos personales, por ejemplo, los interesados, las autoridades de control o encargados de los tratamientos.

El artículo 37.1 del Reglamento General de Protección de Datos y detalla los casos en los que será obligatorio el nombramiento de un Delegado de Protección de Datos.

Si su organización se encuentra contemplada en alguno de estos casos, y que en concreto son:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • En operaciones del tratamiento que, debido a su naturaleza, alcance y/o fines, requieran la observación habitual y sistemática de interesados a gran escala, será obligatorio.
  • Exista tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales, será obligatorio.

La Ley Orgánica de Protección de Datos y garantía de los derechos digitales La LOPD 3/2018, por su parte, señala en que organizaciones o entidades es obligatorio nombrar un Delegado de Protección de Datos (artículo 34.1) en los siguientes casos:

  • Colegios profesionales y sus consejos generales, será obligatorio.
  • Centros docentes, así como las universidades públicas y privadas, será obligatorio.
  • Entidades que exploten redes y entidades que presten servicios de comunicaciones electrónicas, será obligatorio.
  • Entidades prestadoras de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio, será obligatorio.
  • Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, será obligatorio.
  • Entidades y establecimientos financieros de crédito, será obligatorio.
  • Entidades aseguradoras y reaseguradoras, será obligatorio.
  • Entidades de servicios de inversión, reguladas por la legislación del Mercado de Valores, será obligatorio.
  • Entidades cuya actividad sea distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural, será obligatorio.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, será obligatorio.
  • Entidades que desarrollen actividades de publicidad y prospección comercial, será obligatorio.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, será obligatorio.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas, será obligatorio.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego, será obligatorio.
  • Entidades cuya actividad sea la seguridad privada, será obligatorio.
  • Federaciones deportivas cuando traten datos de menores de edad, será obligatorio.

En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden nombrar un DPD. En todo caso, si se nombra un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39, como si el nombramiento hubiera sido obligatorio.

Sí. El artículo 37, apartado 2, del RGPD permite a un grupo empresarial designar un único delegado de protección de datos (DPD), siempre que este «sea fácilmente accesible desde cada establecimiento».

La noción de accesibilidad se refiere a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la entidad, teniendo en cuenta que una de esas tareas es «informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento».

Con el fin de garantizar que el DPD, ya sea interno o externo, sea accesible, es importante asegurarse de que sus datos de contacto están disponibles de conformidad con los requisitos del RGPD. El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control. Esto significa también que dicha comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de control y los interesados afectados.

La disponibilidad de un DPD (ya sea físicamente en las mismas instalaciones como empleado, ya sea en línea o mediante otros medios seguros de comunicación) es fundamental para garantizar que los interesados puedan contactar con el DPD.

El artículo 38, apartado 3, del RGPD establece algunas garantías básicas que contribuyen a asegurar que los delegados de protección de datos (DPD) puedan realizar sus tareas con el suficiente grado de autonomía dentro de su organización. En particular, los responsables o encargados del tratamiento están obligados a garantizar que el DPD «no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones».

El considerando 97 añade que los DPD «sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente». Esto significa que, en el desempeño de sus tareas con arreglo al artículo 39, no debe instruirse a los DPD sobre cómo abordar un asunto, por ejemplo, qué resultado debería lograrse, cómo investigar una queja o si se debe consultar a la autoridad de control. Asimismo, no se les debe instruir para que adopten una determinada postura con respecto a un asunto relacionado con la ley de protección de datos, por ejemplo, una interpretación concreta de la ley.

No obstante, la autonomía de los DPD no significa que tengan poder para adoptar decisiones más allá de sus funciones, definidas con arreglo al artículo 39.

Los medios han de ser suficientes para desarrollar su labor de forma efectiva.

En relación con el apoyo a su labor (con tal autonomía en el ejercicio de sus funciones y relacionándose con el nivel superior de la dirección) es obligatorio que el responsable del tratamiento facilite al DPD todos los recursos necesarios para desarrollar su actividad.

El artículo 38, apartado 2, del RGPD prevé que las entidades respalden a su DPD «facilitando los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados».

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos) deben tenerse en cuenta, en especial, los siguientes aspectos:

  • Apoyo activo a la labor del DPD por parte de la alta dirección (al nivel del consejo de administración).
  • Tiempo suficiente para que el DPD cumpla con sus funciones (lo cual es particularmente importante cuando se designa un DPD interno a tiempo parcial o cuando el DPD externo lleva a cabo la protección de datos de manera complementaria a otras obligaciones), y así evitar el conflicto entre prioridades, que podría dar lugar al descuido de las obligaciones del DPD.
  • Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.
  • Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
  • Acceso necesario a otro tipo de ayudas, como servicios de recursos humanos, servicios de departamento jurídico, servicios TI, servicios de seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
  • Formación continua.
  • En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros.

En general, cuanto más complejas o sensibles sean las operaciones de tratamiento, más recursos y servicios deberán destinarse al DPD. La función de protección de datos debe desempeñarse con eficacia y dotarse con los servicios y recursos suficientes para el tratamiento que se esté realizando.

Suscribete a nuestra Newsletter