Última revisión
datos
570 - Definición y características del delegado de protección de datos (DPD)
Relacionados:
Vademecum: datos
Fecha última revisión: 25/09/2024
El Delegado de Protección de Datos (DPD) o Data Proteccion Officer (DPO) es un elemento clave del Reglamento General de Protección de Datos y un garante de la normativa de protección de datos en las organizaciones.
Esta figura, cuyo nombramiento e intervención en el tratamiento de datos fue ordenado por el RGPD, debe contar con una titulación universitaria para acreditar los conocimientos especializados necesarios y conocimientos relativos a la tecnología.
Según la LOPDGDD, la designación del DPD (obligatoria o voluntaria), nombramiento y cese, debe ser comunicado a la Agencia Española de Protección de Datos. El DPD debe ser independiente y contar con los recursos suficientes para desempeñar sus tareas.
La Agencia Española de Protección de Datos define al delegado de protección de datos (DPD) o Data Proteccion Officer (DPO) como uno de los elementos claves del RGPD y un garante de la normativa de protección de datos en las organizaciones, pero sin substituir las funciones que desarrollan las autoridades de control.
Se trata de una figura cuya designación e intervención en el tratamiento de protección de datos fue ordenada por el RGPD, en concreto en su artículo 37. En apoyo de este precepto y del considerando (97) del mismo reglamento, respecto al DPD podemos destacar las siguientes apreciaciones:
- Su designación será obligatoria en determinados casos (art. 37 del RGPD y art. 34 de la LOPGDD). Fuera de esos casos, su designación queda al arbitrio, bien del responsable, bien del encargado del tratamiento, como una medida más de responsabilidad activa.
- Debe tratarse de un profesional con conocimientos en derecho y con práctica en materia de protección de datos. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Cabe citar el artículo 35 de la LOPDGDD que, respecto a estos requisitos, en concreto a los que en tal norma se establecen para la designación del DPD, sea persona física o jurídica, señala que tales exigencias pueden demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán en cuenta, de manera especial, la obtención de una titulación universitaria que acredite conocimientos especializados en derecho y la práctica en materia de protección de datos.
- Es necesario también, ante la naturaleza de los servicios que puede prestar el DPD, que tenga ciertos conocimientos sobre otras materias fuera de las estrictamente de carácter jurídico, como pueden ser en materia de tecnología, u otras a las que se dedique la organización donde va a desempeñar sus tareas.
- No tienen por qué formar parte de la estructura interna de la empresa encargada del tratamiento: puede formar parte de la plantilla del responsable o encargado o puede desempeñar sus funciones como DPD en el marco de un contrato de servicio.
- Debe ser una figura independiente y autónoma: actuará como interlocutor entre la entidad responsable y el resto de los elementos que existan en su órbita operativa (encargados, interesados o la propia AEPD).
- Debe tener a su disposición, por parte del responsable o encargado, todos los recursos suficientes y necesarios para desarrollar su actividad.
- Un grupo empresarial puede nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento, esto es, que las tareas del DPD sean punto de contacto con respecto a los interesados y la autoridad de control, así como desde el interior de la organización (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—).
- Si el responsable o el encargado del tratamiento es una autoridad u organismo público, se puede designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
- Se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—).
En orden de lo anterior, la LOPDGDD dispone en su preámbulo:
«(...) La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento».
Así, el título V, capítulo III, de la LOPDGDD regula este sujeto, y, en sus artículos 34 y siguientes, establece los supuestos de designación obligatoria de DPD, su cualificación, posición e intervención en caso de reclamación ante las autoridades de protección de datos y, completando las apreciaciones anteriores, debe destacarse también en base a la LOPDGDD que:
- La designación del DPD (obligada o voluntaria), así como su nombramiento y cese, debe ser comunicada en el plazo de 10 días a la AEPD o a las autoridades autonómicas de protección de datos.
- La lista de DPD será actualizada por la AEPD o por la autoridad autonómica y se podrá acceder a ella por medios electrónicos.
- El responsable, o el encargado, puede establecer que el DPD puede prestar sus funciones a tiempo parcial o completo, según el volumen de tratamientos, categoría especial de datos que se traten o riesgos que supongan para los derechos y libertades de los interesados.
CUESTIÓN
En un grupo de empresas, ¿se debe nombrar un DPD para cada una?
De acuerdo con el artículo 37, apartado 2, del RGPD, siempre que el tratamiento de datos sea fácilmente accesible desde cualquier establecimiento que componga el grupo empresarial, será posible nombrar un único DPD para todo el conjunto.
Evidentemente, se trata de una decisión voluntaria, de modo que, si cada empresa se dedica a un sector específico o se trata de un entramado complejo, se deberá nombrar un DPD para cada una, sin perjuicio de que se comuniquen entre ellos al objeto de mantener un criterio de decisión común para el grupo.