DELEGADO PROTECCION DATOS

Reglamento europeo de protección de datos

El Parlamento Europeo, en su sesión plenaria de 14 de abril de 2016, aprobó el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD). El objetivo del nuevo Reglamento que entro en vigor el 25 de mayo del 2018 consiste en dar mayor control a las personas físicas sobre sus datos personales en un entorno de comunicaciones avanzadas tecnológicamente. Una de las principales novedades que nos trae este nuevo reglamento es el nombramiento o la designación del delegado de protección de datos. (también llamado DPO o DPD). Pero no todas las entidades están obligadas a nombrar un delegado de protección de datos. 

¿Qué es un Delegado de Protección de Datos?

Esta figura es un garante del cumplimiento normativo de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento incurre en el responsable o encargado. Dicha figura debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado. Actúa de forma independiente y se le atribuyen las funciones de informar y asesorar al responsable o encargado del tratamiento además de observar que cumplen con el RGPD. El delegado de protección de datos puede ser personal interno o externo, persona física o persona jurídica. 

¿Cuándo se debe nombrar un delegado de protección de datos?

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

-El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

-Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

-Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del RGPD y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. 

No obstante, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala, en su artículo 34, que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en algunos casos. En este enlace podrás ampliar más información de quien debe designar un delegado de protección de datos.

¿Puede nombrarse un delegado de protección de datos sin ser obligatorio?

Cuando no sea obligatorio el nombramiento de un delegado de protección de datos, los responsables y encargados de tratamiento, si lo consideran, pueden nombrar un DPO o DPD. Si se nombra de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del reglamento europeo de protección de datos como si el nombramiento hubiera sido obligatorio.

¿Cuáles son las funciones del Delegado de Protección de Datos?

Las funciones del Delegado de Protección de Datos se encuentran desarrolladas en el artículo 39 del RGPD, siendo las siguientes:

-Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.

-Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.

-Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.

-Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Quién nombra al delegado de protección de datos?

La propia organización es la que nombra o designa la figura del delegado de protección de datos (DPO o DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un delegado, y en otros casos tanto el responsable como su encargado deben designar respectivos delegados (que deberán cooperar entre sí).

¿Debe comunicarse el nombramiento de delegados de protección de datos a la AEPD?

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

¿Cuál es la responsabilidad de un delegado de protección de datos?

Los delegados de protección de datos no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normativas de protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello, cuando el delegado de protección de datos estime la existencia de una vulneración en materia de protección de datos lo documentará y comunicará a los órganos de administración y dirección del responsable o el encargado del tratamiento.

¿De qué medios puede disponer un delegado de protección de datos?

Los medios han de ser suficientes para desarrollar su labor de forma efectiva y eficaz. Es obligatorio que el responsable del tratamiento facilite al delegado de protección de datos de todos los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento.

Deben tenerse en cuenta, en especial, los siguientes aspectos:

- Apoyo activo a la labor del delegado de protección de datos por parte de la alta dirección (al nivel del consejo de administración).

- Tiempo suficiente para que el delegado de protección de datos cumpla con sus funciones

- Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.

- Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.

- Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.

- Formación continua.

- En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros.

 

El RGPD establece claramente que es el responsable y no el delegado de protección de datos quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al reglamento.

FAQ Preguntas frecuentes

El delegado de Protección de Datos es una nueva figura, e que introduce el Reglamento europeo de protección de datos 2016/679 (UE). Esta figura será designada atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados del Derecho y la práctica en materia de Protección de datos. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control en este caso en España es la Agencia Española de protección de datos.

Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. Además, el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece que entidades está obligadas a nombrar un delegado de protección de datos.

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (RGPD) y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control que en España es la Agencia Española de Protección de datos.

El delegado de protección de datos debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. El delegado de protección de datos no recibirá ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

La Agencia española de protección de datos ha dispuesto un espacio en su Sede electrónica para que cualquier interesado pueda consultar la lista de delegados de protección de datos comunicados a la AEPD. Este espacio de consulta, disponible en la Sede electrónica de la Agencia, permite a cualquier interesado conocer el contacto de los delegados de protección de datos comunicados a la AEPD. De esta forma, los ciudadanos que quieran ejercitar sus derechos o presentar una reclamación ante una entidad pueden introducir el nombre, razón social o NIF de la organización para conocer los datos de contacto del DPD y dirigirle sus solicitudes.