El Delegado de Protección de Datos. DPD, DPO. y sus funciones son un auténtico desconocido para muchos usuarios y empresas, en este artículo vamos a ayudar a aclarar las dudas sobre la figura, funciones, obligaciones y empresas que están obligadas a tener un delegado de protección de datos.
Índice
¿Quién puede ser DPD?
Ya sea una persona física o jurídica, personal interno o externo el Delegado de Protección de datos, es aquel que reúne las cualidades profesionales y, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos y tiene la capacidad para desempeñar las funciones a las que le obliga la norma.
¿Quién designa al DPD?
El Delegado de Protección de datos debe ser designado por los responsables y encargados del tratamiento y deberán designarlo en los supuestos previstos en el Reglamento (UE) 2016/679
¿Qué formalidades se deberán llevar a cabo para su nombramiento?
Las formalidades para designar a un delegado de Protección de datos están especificadas en el RGPD.
- El responsable o encargado del tratamiento, publicarán los datos de contacto del DPD, además, el nombramiento, la renovación y el cese de delegado de protección de datos.
- Debe comunicarse su nombramiento a la autoridad de protección de datos autonómica o a la Agencia Española de protección de datos.
- Esta comunicación deberá de realizarse en un plazo de 10 días, así queda establecido en el artículo 34.3 LOPD 3/2018.
El RGPD no requiere que se publiquen los datos de contacto del DPD, es algo que deberán considerar el responsable y el DPD para incluir como iniciativa de buenas practicas empresariales.
¿En base a qué criterios se designa a un DPD?
El DPD podrá demostrar su cualificación, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
En cualquier caso, es responsabilidad del RESPONSABLE o ENCARGADO DEL TRATAMIENTO designar al DPD según sus cualidades profesionales, conocimientos específicos del derecho y su instrucción en la práctica de la materia en cuestión.
¿Qué funciones tiene el DPD en la organización?
Se tiene que garantizar la independencia del DPD para con el desempeño de sus funciones, dejando claro que su autonomía, no significa que tenga poderes más allá de las tareas asignadas.
Sus funciones serán las siguientes:
- El DPD actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos.
- El delegado podrá́ inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
- Cuando el delegado de protección de datos aprecie la existencia de una vulneración en materia de protección de datos, lo documentará y lo comunicará al responsable o el encargado del tratamiento.
- El delegado intervendrá en caso de reclamación ante las autoridades de protección de datos.
- El afectado podrá, con carácter previo a la presentación de una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame.
- Informar y asesorar, al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones.
- Supervisar el cumplimiento de la normativa en materia de protección de datos y de las políticas del responsable o del encargado de tratamiento incluidas la asignación de responsabilidades, la concienciación y la formación del personal que participa en las operaciones de tratamiento.
- Asesoramiento sobre la evaluación de impacto y supervisar su aplicación.
El Responsable o encargado del tratamiento podrían asignarle otras funciones al DPD, como por ejemplo:
- Tratar reclamaciones presentadas por un interesado o un organismo.
- Cooperar con la autoridad de control con el fin de garantizar la coherencia en la aplicación del reglamento.
- Adaptar cláusulas contractuales tipo que se refieren al artículo 28 del RGPD.
- Ofrecer asesoramiento en operaciones de tratamiento.
- Efectuar la acreditación de organismos de supervisión de los códigos de conducta.
- Desempeñar cualquier otra función relacionada con a protección de datos.
¿Qué empresas están obligadas a designar a un DPD?
- Aquellas que, el tratamiento lo lleve a cabo una autoridad u organismo publico, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
La LOPD-GD indica los sujetos obligados a designar un DPO (además de todos los que ya estaban obligados por el RGPD):
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así́ como las Universidades publicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación especifica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el articulo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo.
- Las que realicen tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
¿De qué plazo disponen para designar a un DPD?
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
Resumiendo:
- La obligación de designar a un Delegado de protección de datos (DPD) está establecido y regulado en la normativa de protección de datos así como sus funciones, competencias, etc…
- El plazo para su designación es de 10 días desde que entrara en vigor.
- La designación debe ser comunicarse a la AEPD teniendo que quedar justificada debidamente.
- La obligación de designar a personal cualificado para desempeñar su función recaerá sobre el Responsable o el Encargado del tratamiento.
Consejo como DPD:
Si realizas una de las actividades indicadas para la designación de un DPD, haz una consulta a tu empresa de protección de datos, ya que la función que ha de asumir la persona o empresa que escojas puede ser vital ante una situación que requiera de su pericia y experiencia.
Recuerda que si tienes designado un delegado debe estar inscrito en la AEPD, puedes consultarlo en el siguiente link; https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf
En CEMEBAL SOLUTIONS somos expertos en dar soluciones globales para la implantación del RGPD y la LSSI, a todo tipo de empresas en las Islas Baleares.
Si necesitas información sobre nuestros servicios, estaremos encantados de ayudarte.
Puedes contactar con nosotros llamando al teléfono:
Tef. +34 971 912 723
Si lo prefieres, también puedes enviarnos un correo