La aprobación y posterior entrada en vigor del RGPD supuso la introducción de un nuevo actor en materia de Protección de Datos: el Delegado de Protección de Datos (DPD) en Inglés llamado Data Protection Officer (DPO).
En nuestro país no existía ninguna figura similar y ahora, la nueva LOPDGDD ha desarrollado sus funciones y los supuestos en los que es necesario nombrar un DPD.
¿Quieres saber más sobre esta nueva figura que actúa como supervisor del cumplimiento de la normativa de Protección de Datos? Pues no te pierdas este post.
¿Qué o quién es el Delegado de Protección de Datos?
El Delegado de Protección de Datos es una de las figuras que actualmente más se está analizando y especificando sus funciones y obligación en las empresas.
El DPD es el encargado de vigilar que la empresa u organización cumple con las obligaciones establecidas en materia de Protección de Datos. Y debe ayudar y asesorar en ese cumplimiento.
Una de las principales funciones del DPD es asegurar el cumplimiento de deber de confidencialidad por parte de la empresa respecto a los datos personales que maneja, ya sean de sus clientes, de sus empleados o de sus proveedores.
También debe garantizar que los datos se usan únicamente para la finalidad para la que fueron recogidos y que no se vulnera la intimidad de los afectados.
Regulación
- RGPD: El DPD se regula en los artículos 37, 38 y 39 del RGPD.
- LOPDGDD: La nueva ley de Protección de datos en España regula la figura del DPD en los artículos 34, 35, 36 y 37.
¿Qué empresas deben contratar un DPO?
Uno de los temas que más dudas suscitan es si estamos o no obligados a nombrar un DPD en nuestra empresa.
¿Necesitan todas las empresas un DPD? La respuesta es no.
Por eso os voy a indicar los supuestos previstos en el RGPD y la LOPDGDD en los que es obligatorio el delgado de protección de datos.
Según el RGPD
El RGPD establece que será obligatorio nombrar un DPD:
- Si se trata de entidades o administraciones públicas. En este caso, se excluyen los Tribunales en ejercicio de sus funciones judiciales.
- Cuando se realicen tratamientos de datos que supongan una vigilancia periódica y a gran escala de los datos de los afectados.
- En caso de que se traten también a gran escala datos especialmente protegidos.
- Si el tratamiento se refiere a datos de localización de menores.
Según la LOPDGDD
La regulación establecida en el RGPD no despeja las dudas existentes sobre el tipo de entidades que deben nombrar un DPD. No aclara si, por ejemplo, una clínica dental, una asesoría o una guardería infantil necesitan un DPD.
Pero en la LOPDGDD se aclaran los supuestos en los cuales es necesario ese nombramiento.
Y esos supuestos son:
- Centros educativos
- Universidades públicas y privadas
- Colegios profesionales
- Centros sanitarios
- Empresas de telecomunicaciones
- Entidades financieras y de crédito
- Aseguradoras
- Empresas de electricidad y gas
- Empresas de inversión
- Empresas de márketing y publicidad que elaboren perfiles de usuarios
- Entidades de juegos y apuestas online
- Empresas de seguridad privada
- Entidades que realicen tratamientos sobre prevención del fraude, solvencia patrimonial o blanqueo de capitales
- Federaciones deportivas que manejen datos de menores, etc.
¿Y si mi empresa no está incluida en esa lista?
En caso de que tu negocio o empresa no esté incluido en esa lista no estás obligado a designar un DPD. Pero, dependiendo del tipo de datos que manejes, sí es recomendable hacerlo.
Por ejemplo, si eres un psicólogo autónomo no estás obligado por ley. Pero al guardar las historias médicas de los pacientes y estar considerados como datos sensibles, es aconsejable que nombres un DPD para que te ayude con el cumplimiento de la ley.
Siempre es importante disponer de una persona que nos asesore respecto a nuestras obligaciones en materia de Protección de datos, para analizar los riesgos que pueden derivarse del tratamiento realizado y adoptar las medidas de seguridad adecuadas que eviten o reduzcan esos riesgos.
¿Quién debe nombrar al DPO o DPD?
Los obligados a nombrar al DPD son:
- Responsables del tratamiento
Ese nombramiento deben comunicarlo a la AEPD y a los afectados por los tratamientos. A estos últimos deben informarles sobre los datos de contacto de ese DPD para que puedan dirigirse a él en caso de que entiendan que se han infringido sus derechos.
Funciones del Delegado de Protección de Datos
Las funciones del Delegado de Protección de Datos son las siguientes:
- Asesoramiento e información sobre los requisitos exigidos para cumplir la normativa de Protección de datos.
- Supervisar el cumplimiento de la normativa mediante la realización de auditorías y la formación al personal de la empresa.
- Garantizar la conservación de la documentación sobre Protección de datos.
- Revisar el procedimiento para comunicar las brechas de seguridad en la empresa.
- Ejercer como intermediario con la AEPD y cooperar con ella siempre que sea necesario.
En resumen, el DPO tiene atribuida la función de asegurar que la empresa o entidad cumple con la normativa de Protección de datos y de ayudarle en ese cumplimiento.
Responsabilidad
En caso de que la empresa incumpla sus obligaciones en materia de Protección de datos, el DPD no puede ser sancionado, ni por la AEPD ni por el responsable o encargado del tratamiento que le haya nombrado.
Debe realizar sus funciones con independencia y autonomía, no estando sometido a ningún tipo de instrucción por parte del responsable del tratamiento.
Por otro lado, tiene la obligación de guardar secreto sobre toda la información a la que acceda en el ejercicio de sus funciones.
Solo debe rendir cuentas ante los responsables o gerentes de la empresa.
¿Qué requisitos se exigen a un DPO?
Los requisitos que tanto el RGPD como la LOPDGDD exigen para que una persona pueda ejercer su cargo como DPD son:
- Conocimientos jurídicos e informáticos
- Experiencia en materia de Protección de datos
También se piden una serie de habilidades para ejercer esa profesión:
- Capacidad de trabajo sin control y de trabajo en equipo
- Habilidades de lectura, escritura e informática
- Capacidad para clasificar y guardar la documentación
- Experiencia en sistemas de seguridad de la información
- Meticuloso y organizado
- Observador
- Habilidades para la oratoria
Formación del DPO
Es necesario que el DPD tenga una adecuada cualificación profesional para ejercer sus funciones y lo demuestre.
Esquema de Certificación AEPD
La AEPD ha elaborado un esquema de Certificación de DPD con la finalidad de otorgar una mayor fiabilidad a estos profesionales y mayor confianza a las empresas que necesitan contratarlos.
A través de este Esquema se permite certificar a aquellas personas que posean los conocimientos y experiencia necesarios.
Esta Certificación no es obligatoria para desarrollar las funciones como DPD aunque sí es recomendable ya que, de esa forma, se garantizará su competencia para realizar esas funciones.
Preguntas frecuentes
¿Cuánto cuesta contratar un DPD?
Las tarifas de un Delegado de Protección de datos son muy variadas. Dependen de muchos factores como el volumen o tipo de datos que maneja la empresa o si es una persona contratada en plantilla o de manera externa.
Si el DPD se contrata de manera externa, la tarifa puede ser mensual, trimestral, semestral o anual. Habría que hacer un presupuesto personalizado según el tipo de empresa. El precio anual estaría entre los 25.000 y los 70.000 euros.
En caso de que decidas contratar un DPD dentro de la plantilla de la empresa, el sueldo anual también variará según el tipo de empresa. Rondaría las mismas cifras anteriores.
¿Puedo contratar un DPD externo?
Como indicaba anteriormente, sí es posible que el DPD sea alguien externo a la empresa.
Lo más normal es que las empresas contraten los servicios de un DPD externo. Pero en todo caso debe garantizarse su independencia. Es decir, la empresa no debe darle órdenes ni sancionarle o despedirle por la realización de sus funciones.
¿Tiene el DPD responsabilidad en caso de infracciones de la ley de Protección de datos?
No, el DPD no es responsable de infracciones de la normativa de Protección de datos.
Los únicos responsables en caso de incumplimiento serán los responsables y encargados del tratamiento ya que son ellos los que deben asegurar que los datos personales que manejan están protegidos adecuadamente.
¿Es el DPD un defensor del cliente o ciudadano?
No exactamente.
El DPD es la persona a la que pueden dirigirse los titulares de los datos personales para plantearle cualquier cuestión relativa al tratamiento de sus datos y para ejercer sus derechos, presentar reclamaciones o solicitar indemnizaciones.