Delegado de Protección de Datos y el RGPD

El Reglamento general sobre protección de datos (RGPD) ha establecido un marco legal basado en la rendición de cuentas para la protección de los datos en Europa. En este nuevo marco jurídico los delegados de protección de datos (DPD) serán el elemento central para que muchas organizaciones cumplan las disposiciones del RGPD.

En virtud del RGPD, es obligatorio que algunos responsables y encargados del tratamiento designen un DPD.

Así será en el caso de todas las autoridades y organismos públicos (con independencia de qué datos traten), y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.

A nivel nacional, España en la Ley Orgánica 3/2018 especifica las entidades y organismos que deberán proceder a esta designación con carácter obligatorio.

En los casos en los que el RGPD o la ley orgánica nacional no requiera específicamente el nombramiento de un DPD, las organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria.

¿Por qué necesito un Delegado de protección de datos?

Para cualquier organización el DPD debe ser la piedra angular de la rendición de cuentas en protección de datos. Su nombramiento va a facilitar el cumplimiento y, además, puede convertirse en una ventaja competitiva para las empresas frente a otras del mismo sector.

Además de facilitar el cumplimiento mediante la aplicación de instrumentos de rendición de cuentas (tales como facilitar o llevar a cabo evaluaciones de impacto y auditorías de protección de datos), los Delegados de protección de datos actúan como intermediarios entre la autoridad de control (AEPD), los interesados y las unidades de negocio dentro de una organización.

Cualidades profesionales del DPD

Las normativas vigentes no exigen una titulación concreta en la materia. Pero sí que este tenga conocimientos específicos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD.

El conocimiento del sector empresarial y de la organización del responsable del tratamiento es primordial. Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento que lo contrata.

Necesidad del delegado de protección de datos

La principal preocupación del DPD será posibilitar que la organización cumpla con el RGPD.

El DPD desempeña un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye al cumplimiento de elementos esenciales del RGPD, como son:

  • los principios relativos al tratamiento de datos,
  • los derechos de los interesados,
  • la protección de los datos desde el diseño y por defecto,
  • el registro de las actividades de tratamiento,
  • la seguridad del tratamiento y
  • la notificación y comunicación de las violaciones de la seguridad de los datos.

El DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

 

Accesibilidad del Delegado de Protección de Datos

El artículo 37, apartado 7, del RGPD requiere que el responsable o el encargado del tratamiento publiquen los datos de contacto del DPD y comuniquen los datos de contacto del DPD a la autoridad de control.

El objetivo de dichos requisitos es garantizar que los interesados (tanto dentro como fuera de la organización) y la autoridad de control puedan contactar de forma fácil y directa con el delegado, sin tener que contactar con ninguna otra parte de la organización.

Los datos de contacto del DPD deben incluir información que permita a los interesados y a la autoridad de control comunicarse con este de forma sencilla (dirección postal, un número de teléfono específico y/o una dirección de correo electrónico específica).

Funciones del Delegado

Gráfico resumiendo la relación del DPO con la empresa, la AEPD y los Afectados

Supervisión de la observancia del RGPD. Dentro de esta función se destacan:

  • recabar información para determinar las actividades de tratamiento;
  • analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;
  • informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

Papel del DPD en una evaluación de impacto relativa a la protección de datos:

  • si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
  • qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
  • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
  • qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados;
  • si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar) son conformes con el RGPD.

Cooperación con la autoridad de control y actuación como punto de contacto.

  • cooperar con la autoridad de control
  • actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento
  • ser el facilitador e intermediario entre los interesados, la AEPD y los distintos departamentos de la empresa.

Sectores obligados a nombrar delegado de protección de datos

la Ley Orgánica 3/2018 especifica las entidades y organismos que deberán proceder a esta designación con carácter obligatorio:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Garantía de cumplimiento

No obstante lo anterior, los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la citada ley orgánica.

El nombramiento de un delegado de protección de datos es un sello de garantía de que tu empresa cumple con la normativa en protección de datos personales.

Si tienes cualquier duda sobre este tema o cualquier otro en protección de datos o Ciberseguridad contacta con nosotros o déjanos un comentario.