¿Qué es un delegado de protección de datos (DPO)?
Delegado de protección de datos: Breve historia de este puesto
El delegado de protección de datos, DPD o DPO por sus siglas en inglés Data Protection Officer, es una figura que nace en 2016 con la publicación del Reglamento General de Protección de Datos (RGPD, en adelante).
Esta figura viene heredando parte de las competencias de lo que se conocía como “Responsable de Seguridad” en la anterior normativa, aunque se especifica mucho más su implicación en Protección de Datos y su especialización en la materia para el ejercicio del puesto.
Y es que el RGPD trajo consigo una ampliación de la materia de protección de datos, ahondando más en una protección de datos proactiva, que emanase desde el diseño de todos las tratamientos de la organización. De esta forma, quien se encargase de coordinar y resolver todos los asuntos de protección de datos, debería conocer la normativa en profundidad y de una forma profesionalizada. Es ahí donde nace la necesidad de la figura del Delegado de Protección de Datos.
¿Qué normativa regula al delegado de protección de datos?
La figura del DPO dentro del RGPD
La figura del DPD viene definida y regulada en los artículos 37, 38 y 39 del RGPD. En estos artículos se detalla cuándo se debe de nombrar un DPD, quién puede ser el DPD de una organización, qué principios debe de cumplir y qué funciones se le atribuye.
Además de esto, en nuestra propia normativa española, la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD-GDD), se parte de la base establecida por el RGPD y se amplía esta información, llegando a concretar cuestiones como qué tipo de organización está obligada a nombrar un DPD o qué cualificación debe de tener.
En este post vamos a responder las preguntas más habituales sobre ello, con las diferentes normativas en la mano.
Principales funciones que debe realizar el delegado de protección de datos
El artículo 39 del RGPD, así como el 36 de la LOPDGDD, confieren al Delegado de Protección de Datos las siguientes funciones:
- Informar y asesorar a la organización que realiza el tratamiento de los datos sobre cualquier asunto en materia de protección de datos.
- Supervisar el cumplimiento de las normativas aplicables y de las políticas propias de la organización en materia de protección de datos personales,
- Supervisar la correcta asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, así como las auditorías.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
- Cooperar con la autoridad de control, como puede ser la Agencia Española de Protección de Datos o las diferentes autoridades autonómicas.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
¿Cuándo están las empresas obligadas a requerir los servicios de un DPO?
¿Cuándo hay que nombrar un delegado de protección de datos?
A partir de la entrada en vigor del RGPD, era obligatorio el nombramiento de un DPO en el caso de que la organización cumpliera alguno de estos requisitos:
1. Cuando la organización sea una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
2. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
3. Cuando se realicen tratamientos a gran escala de categorías especiales de datos personales con arreglo al artículo 9, como datos de salud, y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 2.
Estas tres condiciones pueden servirnos de guía para saber cuándo nuestra organización debe de nombrar un Delegado de Protección de Datos. Sin embargo, con la publicación y entrada en vigor de nuestra LOPD-GDD se amplía y concreta esta lista. En el artículo 34 de esta ley se establecen las organizaciones que están obligadas a tener un DPD. Para ayudar a la comprensión de los ejemplos, hemos puesto una serie de ejemplos que, cumpliendo con cada apartado, deberían de tener un DPO:
a) Los colegios profesionales y sus consejos generales. | Colegios Profesionales y Consejos Generales |
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. | Colegios, institutos, universidades, centros de idiomas, centro de artes, formación profesional, deportes, centro de educación de personas adultas. |
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. | Empresas de explotación de redes, servicios de comunicaciones electrónicas |
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. | Páginas web que elabores perfiles a gran escala. |
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito. | Bancos, caja de ahorro, cooperativas de crédito, institutos de crédito oficial. |
f) Los establecimientos financieros de crédito. | Financieras |
g) Las entidades aseguradoras y reaseguradoras. | Aseguradoras y reaseguradoras |
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. | Empresas de inversión |
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. | Distribuidor de energía, comercializador de energía y de gas natural |
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. | Las siguientes empresas con los ficheros mencionados en la ley: Entidad de crédito, aseguradora, inversión, fondos de pensiones, capital-riesgo, garantía recíproca, dinero electrónico, cambio de moneda, servicios postales si hacen giro o transferencia, intermediación en concesión de préstamos o créditos, promotor inmobiliario, agencia comisión o intermediación en compraventa de inmuebles, auditores de cuentas, contables externos, asesores fiscales, notarios, registradores de la propiedad, abogados procuradores u otros cuando asesoren en compraventa de bienes inmuebles u operación financiera, casinos, joyería, venta de arte o antigüedades, loterías, juegos de azar, fundación o asociaciones cuando hayan personas que reciban o aporten a título gratuito fondos o recursos, comercio de bienes cuando la compra la haga un no residente por un valor superior a 10000 € con medio de pago en metálico o al portador |
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. | Empresas de marketing, publicidad, investigación y estudios de mercados que cumplan las condiciones mencionados. |
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. | Clínicas de salud, consultas de psicología, fisioterapia que cumplan las condiciones mencionadas. |
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. | Entidades que realizan informes comerciales sobre personas físicas |
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. | Juego electrónico, informático, telemático o interactivo |
ñ) Las empresas de seguridad privada. | Empresas de seguridad privada |
o) Las federaciones deportivas cuando traten datos de menores de edad. | Federaciones deportivas |
¿Qué cualidades profesionales y conocimientos debe tener un DPD?
Certificación
Conocimientos Jurídicos
Experiencia práctica en protección de datos
Capacidad para ejecutar sus funciones mínimas
Para ser Delegado de Protección de Datos es necesario que la persona designada tenga la cualificación profesional suficiente. Esto es, que necesita de conocimientos especializados en protección de datos, tanto en la teoría como en la práctica. De hecho, la LOPD-GDD, en su artículo 35 especifica que, una forma de probar estos conocimientos será a través de mecanismos de certificación voluntaria.
Estos mecanismos deben de tener en especial consideración que la persona que opte a DPO haya obtenido una titulación universitaria que acredite dichos conocimientos especializados.
¿Quién debe nombrar al DPO?
Designación de un DPD
Designación obligatoria
Delegado de protección de datos del encargado del tratamiento
Designación de un DPD único para varias organizaciones
Accesibilidad y ubicación del DPD
Como bien hemos explicado en un apartado anterior, tanto el RGPD como la LOPD-GDD regulan qué organizaciones están obligadas a designar un DPO. Se debe de tener en cuenta que la normativa formula que, en estos casos, tanto si eres Responsable del Tratamiento como si realizas el tratamiento de datos como encargado de tratamiento, tienes la obligación de tener un DPD.
En el caso de los grupos empresariales formados por diferentes denominaciones sociales, la normativa permite el nombramiento de un único DPD en el caso de que el mismo pueda acceder y ser accesible fácilmente a los diferentes establecimientos donde se realiza tratamiento de datos. Esto significa que, aunque los tratamientos se realicen bajo el “paraguas” de un mismo grupo organizativo o bajo una misma marca, si la variada distribución de las organizaciones que lo componen no permitiera que el DPO pudiese ejercer sus funciones completamente, no se podría aconsejar el nombramiento de un DPO único.
¿Tiene una responsabilidad personal el DPO?
La responsabilidad en el tratamiento de datos personales será siempre y según establece la normativa, del responsable del tratamiento y/o del encargado del tratamiento.
Un delegado de protección de datos tiene la responsabilidad de supervisar que los tratamientos en la organización se realicen en cumplimiento de la normativa. Es su deber asesorar a la organización sobre cómo debe de cumplir con la normativa y realizar un adecuado tratamiento de datos personales.
Sin embargo, en el caso de que el DPD cometiera una negligencia en sus funciones, podría la organización repetir responsabilidades contra el mismo, así como pasaría en el caso de cualquiera que forme parte del personal de la organización.
¿Es necesario que estas entidades realicen un curso sobre DPO?
La figura del DPO externo
La cualificación exigible a un DPO es igual para un DPO externo como interno. Así las cosas, también será la misma cualificación exigible para un DPO que sea persona jurídica o persona física.
Estas cualificaciones serán, como bien hemos mencionado en una pregunta anterior, relativas a los conocimientos especializados en protección de datos, así como la experiencia práctica en la materia. Por lo tanto, con un único curso es difícil que se pueda obtener la experiencia práctica suficiente como para estar cualificada. Por poner un ejemplo, el mecanismo homologado por la Agencia Española de Protección de Datos para certificar a un DPO tiene en cuenta la realización de cursos de hasta 180 horas impartidos por centros homologados.
¿Qué posición debe tener el DPO en una empresa?
Dejando la cualificación a un lado, es muy importante poder observar objetivamente cuál es la posición del DPO en la entidad, ya que aquel que ocupe dicho cargo deberá de cumplir con unos requisitos mínimos dentro de la organización.
Y es que, el RGPD demanda que aquella persona que ostente el cargo de DPD, tenga una posición relativa a la organización que cumpla con los siguientes principios:
- La organización debe garantizar que el DPD cumpla con su cargo de la forma y en el tiempo adecuado. De esta forma, un DPD siempre deberá ser debidamente comunicado de todos los tratamientos que por su función deba de analizar.
- La entidad debe de otorgar al DPO los recursos suficientes para que este ejerza sus funciones.
- Se debe de garantizar la independencia del DPD, de forma que nunca podrá verse ni destituido ni sancionado por el ejercicio de sus funciones dentro de la organización.
¿Quién puede ser delegado de protección de datos?
El representante legal de una entidad, ¿puede ser nombrado DPO de la misma?
Como bien especifica la normativa, el DPO puede ser tanto personal interno, como externo e indistintamente puede ser tanto una persona física como una persona jurídica.
En el caso de que el DPO sea interno, debe de cumplir con los principios de posición anteriormente mencionados. De esta forma, un DPD no debería ser alguien cuya posición dentro de la empresa pueda influir a la hora de la toma de decisiones en el tratamiento de datos personales. Es por eso que, el representante legal de una entidad no es compatible con el cargo de DPO ya que no sería independiente en sus funciones, ya que no podría garantizar que no exista un conflicto de intereses. Así las cosas, no sólo hablamos de incompatibilidad en el caso del representante legal de la entidad, si no de todo aquel que tenga una posición o cargo en la organización que tome decisiones en su respectivo departamento en cuanto a protección de datos.
¿Siempre se deben cumplir los requisitos para ser nombrado DPO?
No existe ninguna excepción, ni en el RGPD ni en la LOPDGDD que nos indique la existencia de casos en los que un DPO no tenga que cumplir los requisitos.
El DPO como órgano colegiado
El DPO puede estar formado por una o varias personas, en el caso de que se opte por la fórmula de órgano colegiado. Para ello, tendrán que atender a su propio reglamento interno a la hora de tomar decisiones como DPD.
En el caso de que se opte por esta fórmula, también se tendrá que tener en cuenta que entre todos sus miembros, se tenga la cualificación necesaria para ser DPO, incluyendo el cumplimiento de los principios de posición en la organización.
Expectativas laborales de la figura del DPO
Desde la entrada en vigor en 2018 del RGPD, miles de organizaciones necesitan un Delegado de Protección de Datos. Si bien es cierto que muchas de ellas ya cuentan con uno, cada vez es más necesario que los DPO sean altamente cualificados, tanto en experiencia como académicamente. Es por eso, que una adecuada especialización como DPO puede aumentar tus posibilidades en el mercado laboral puesto que la demanda de estas cualificaciones cada vez y conforme pase le tiempo, será mayor.
En Legitec, somos Delegado de Protección de datos para numerosas organizaciones y nuestros más de 18 años de especialización en la materia nos avalan a la hora de asesorar y ayudar a nuestros clientes. Si quieres conocer más acerca de nuestros servicios en esta materia, accede al siguiente enlace: contratar delegado de protección de datos