¿Qué es un DPO?

El Delegado de Protección de Datos (DPD/DPO es la persona encargada de supervisar y monitorizar, de forma confidencial e independiente, si se está cumpliendo con la normativa de protección de datos personales en el seno de una organización.

La figura del Delegado de Protección de Datos en el RGPD está recogida y explicada en los artículos 37, 38 y 39. En concreto, el artículo 37 hace referencia al nombramiento del Delegado de Protección de Datos.El artículo 38 se refiere a la posición del DPO en la empresa u organización y su relación con el responsable y encargado del tratamiento.Por último, el artículo 39 detalla las funciones del DPD.

¿Cuáles son las funciones del DPO?

Como decíamos, las funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD, que establece las siguientes obligaciones mínimas para la gestión del DPO:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de Protección de Datos
  • Comprobar el cumplimiento del RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
  • Ofrecer el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna
    • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
    • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice relativa a la protección de datos.
    • Asesorar a los empleados durante el tratamiento de datos.
    • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
    • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
    • Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
    • Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
    • Formar al personal que participa en las operaciones de tratamiento de datos.
    • Supervisar las evaluaciones de impacto en la protección de datos.
    • Control, coordinación y verificación de las medidas de seguridad aplicables.
  • Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos.
  • Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
  • Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
    • Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
    • Cooperar con la autoridad de control.

¿Cuándo es necesario el DPO?

El RGPD y la LOPDGDD indican cuando es necesario tener un Delegado de Protección de Datos, si bien, la ley española es mucho más concreta que el reglamento europeo, y señala cuáles son exactamente los sectores de actividad o tipos de organizaciones dónde es necesaria la figura de un Delegado de Protección de Datos de manera obligatoria.

Así, siempre que la empresa u organización trate datos personales de forma masiva o realice un tratamiento de datos que pueda entrañar un riesgo elevado para los derechos o libertades de las personas. El artículo 34 de la LOPDGDD señala exactamente las actividades y empresas en las que es necesaria la figura de un Delegado de Protección de Datos.

¿Cuándo es obligatoria la presencia del DPO?
  • Los colegios profesionales y sus consejos generales.
  • Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, salvo los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

Si tu empresa o negocio no está incluido dentro de las categorías anteriores, no es necesario tener un Delegado de Protección de Datos. Sin embargo, es recomendable.

¿Qué necesitas para ejercer como DPO?

La autoridad de control española, siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación de Delegado de Protección de Datos para que los interesados en ejercer dicha posición puedan acreditarse.

La AEPD y la ENAC son las principales impulsoras de este esquema de certificación.

No obstante, hay que destacar que esta certificación para el DPO en protección de datos no será obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.

Contacta con nosotros

La figura del DPD es muy importante para asegurar el correcto tratamiento de la información dentro de tu empresa, orientar a los responsables para garantizar el correcto cumplimiento de la normativa y asesorarlos a la hora de hacer evaluaciones de impacto. Además mejorará la confianza de tus usuarios.

Si necesitas contratar un DPO para tu empresa, podemos ayudarte. Nuestros DPO tienen formación y experiencia especifica en la materia. Ponte en contacto con nosotros , cuéntanos tu caso y te asignaremos él Delegado que mejor se adapte a tus necesidades.