900 101 694
¿Te llamamos?
Delegado de Protección de Datos
¿Qué es el Delegado de Protección de Datos?
El Reglamento General de Protección de Datos es obligatorio desde el 25 de mayo de 2018. Las empresas ya tienen que estar adaptadas, a la nueva reglamentación que incorpora numerosas novedades y nuevas exigencias. Entre ellas surge la figura de los delegados de protección de datos, que serán los garantes del cumplimiento de la normativa en las empresas
Se trata de una figura que deberá contar con conocimientos especializados en Derecho, y obviamente en protección de datos. Actuará de forma independiente y se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
No necesariamente tiene que ser un jurista, pero sí que tenga conocimientos en esa rama. El delegado puedes ser interno o externo y debe estar especializado en la materia.
¿Para qué sirve el Delegado de Protección de Datos?
Informar y asesorar a los responsables y encargados del tratamiento de datos de sus obligaciones.
Supervisar el cumplimiento del RGPD, asignar responsabilidades o concienciar y formar al personal, realizar auditorías, etc.
Cooperar con las autoridades de control, las Agencias de Protección de Datos y actuar como punto de contacto para cualquier consulta.
También será la referencia para los titulares de los datos o afectados por su tratamiento, para el ejercicio de sus derechos o reclamaciones.
Están obligadas las administraciones públicas, las empresas y entidades cuya actividad principal sea el tratamiento masivo de datos. También aquellas empresas cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y/o de datos relativos a condenas e infracciones penales.
Será muy recomendable para aquellas empresas cuya principal actividad no consista en el tratamiento masivo de datos personales, pero que estén especialmente protegidos. Es aquí donde muchas organizaciones acudirán a consultores externos para estar seguros de que cumplen con el Reglamento General de Protección de Datos.
Establecidos por la nueva LOPD:
- Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
- Colegios profesionales.
- Entidades bancarias y compañías de seguros.
- Compañías de energía, electricidad y gas.
- Responsables de ficheros de morosos.
- Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios)
Preguntas frecuentes
En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden proceder a nombrar un DPD. En todo caso, si se nombra un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39, como si el nombramiento hubiera sido obligatorio.
Sí. La función del delegado de protección de datos (DPD) puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.
En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de intereses.
Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.
Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz. El Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección de Datos) ha dictaminado que, en aras de la claridad jurídica y a la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona “a cargo” de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
Una vez recibido el contrato de servicios, el equipo de consultoría enviará la documentación relativa al comienzo del servicio a la empresa: circular explicativa, contrato de confidencialidad, autorización para inscripción en la AEPD, etc.
La empresa será la encargada de enviar de vuelta la documentación que se solicita. Una vez recibida dicha documentación, se procederá al registro de la empresa en la AEPD por parte del equipo de consultoría. Se creará un correo electrónico del tipo dpd.nombreempresa@edutedisconsultoria.com, y se enviarán los sellos y carteles certificados a la empresa. Periódicamente, además, se realizarán llamadas de comprobación a nivel normativo.
La propia organización.
El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un delegado de protección de datos (DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí).
Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.
Los delegados de protección de datos (DPD) no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello,cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
La función del DPD de supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia.
El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento” (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.
En definitiva, el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.
