La figura del Delegado de Protección de Datos: Funciones y Obligatoriedad

La figura del Delegado de Protección de Datos: Funciones y Obligatoriedad

De entre todas las novedades que introduce la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), la figura del Delegado de Protección de Datos (DPO) es la que ha suscitado mayores dudas: ¿tengo que integrarlo en mi empresa, o no?, ¿qué papel juega? En este post te resolvemos las preguntas más frecuentes, ya que en el Reglamento Europeo de Protección de Datos (RGPD) se define en líneas generales este nuevo cargo, pero no se concreta qué empresas tienen la obligación de integrarlo en su estructura. La ley española, sin embargo, esclarece lo siguiente:

¿Qué es el Delegado de Protección de Datos?

Una persona que garantiza, a nivel práctico, que una empresa cumpla con el RGPD. No asume funciones de responsable de área, sino de supervisor sobre las tareas desarrolladas por el encargado de la protección de datos en la compañía. Es decir, es un aval adicional de la adopción de las medidas necesarias para preservar la intimidad de la información. Debe actuar de forma independiente y asesorar al responsable del tratamiento conforme a la legislación.  

Puede formar parte de la empresa como empleado o bien como consultor externo, ya sea una persona física o jurídica. La LOPDGDD señala que el DPO debe contar con conocimientos especializados en derecho, además de práctica en la protección de datos. Sin embargo, no detalla que sea exigible ninguna titulación ni certificado oficial.  

¿Qué funciones tiene un Delegado de Protección de Datos?

La misión principal del DPO es informar y orientar al personal de la empresa acerca de las obligaciones establecidas en las normativas de la protección de datos. Es un interlocutor entre el encargado del tratamiento de datos en la empresa, la Agencia Española de Protección de Datos (AEPD) y las autoridades de control de protección de datos.

Funciones del Delegado Protección Datos DPO

Efectúa funciones de verificación del cumplimiento de las medidas necesarias para garantizar la privacidad de la información. Además, puede participar en la asignación de responsabilidades en dicha materia, en la formación especializada del personal y en las auditorías. Su misión es ofrecer asesoramiento y concienciar sobre la aplicación de las normativas de protección de datos.

Por otro lado, dado que el DPO está en coordinación con las autoridades de control, debe dar reporte de las infracciones.

¿Qué empresas o entidades están obligadas a contratar un Delegado de Protección de Datos?

El artículo 37.1 del RGPD establece el nombramiento obligatorio de este profesional en estos tres supuestos:

  1. Si el tratamiento de datos corre a cuenta de una autoridad u organismo público, a excepción de los tribunales en el ejercicio de sus funciones.
  2. Si las actividades principales del responsable consisten en operaciones que requieran de una observación habitual y sistemática a gran escala.
  3. Si las actividades de tratamiento del responsable consisten en el tratamiento de datos relativos a condenas e infracciones penales.

Si bien en el primer caso sí que se precisa la esfera pública, en los otros dos casos el panorama es ambiguo. Por ello, la LOPD GDD aclara en su artículo 34.1 los 16 supuestos concretos en los que la figura del Delegado de Protección de Datos es obligatorio:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  15. Las empresas de seguridad privada.

Las federaciones deportivas cuando traten datos de menores de edad.

¿En qué podemos ayudarte?

Déjanos tus datos y nos pondremos en contacto contigo.

¿Prefieres llamarnos?

¿Prefieres llamarnos?