DELEGADO DE PROTECCIÓN DE DATOS
El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Un Delegado de Protección de Datos o DPO/DPD es aquella persona física o jurídica responsable de comprobar, supervisar y registrar el tratamiento que se realiza de los datos personales dentro de la organización y verificar que se está cumpliendo de forma adecuada con la normativa de Protección de Datos.
Asimismo el DPD deberá asesorar a la entidad que requiera de este profesional y servir de contacto entre la empresa, la Agencia Española de Protección de Datos y los empleados o titulares de los datos personales que se estén tratando.
Contáctanos para más información
Funciones del Delegado de Protección de Datos
Las Funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD, el cual, establece sus obligaciones mínimas, y es necesario lo siguiente:
- Informar y asesorar a la entidad y a sus empleados de las obligaciones que tienen en materia de Protección de Datos.
- Supervisar el cumplimiento del RGPD en la entidad, incluida la asignación de responsabilidades, la concienciación y formación de los empleados que participan en las operaciones de tratamiento, y las auditorías correspondientes.
- Asesorar al responsable del Tratamiento sobre la realización de la evaluación de impacto y la supervisión del cumplimiento normativo de su aplicación interna.
- Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
- Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
- Formar a los empleados que participan en las operaciones de tratamiento de datos.
- Supervisar las evaluaciones de impacto en la protección de datos.
- Control, coordinación y verificación de las medidas de seguridad aplicables.
- Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Dato en relación con cualquier solicitud de información o en el ejercicio de las funciones que estas tienen.
- Atender las consultas que los interesados realicen a las entidades, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
- Actuar como punto de contacto con la Agencia Española de Protección de Datos, es igualmente necesario, para las cuestiones relacionadas con el tratamiento de datos personales llevadas a cabo por la organización a la que representa, incluyendo la consulta previa.
- Intervenir en caso de reclamación antes las autoridades de control para, en su caso, mediar en los casos en los que se produzca una reclamación contra el responsable o encargado de tratamiento.
Entidades obligadas a disponer de un Delegado de Protección de Datos
El art. 37 RGPD establece los siguientes supuestos en los que se exige la designación del DPD:
- Administraciones Públicas (autoridades y organismos) excepto los tribunales que actúen en ejercicio de su función judicial.
- Empresas u otras entidades cuya actividad consista en el tratamiento masivo de datos personales que requieran de una observación habitual y sistemática a gran escala.
- Empresas u otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).
Asimismo la Ley Orgánica de Protección de Datos (art. 34) establece una serie de entidades en las que será obligatorio designar un DPD:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Las entidades y/o prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, que presten servicios de ordenación, supervisión y solvencia de entidades de crédito.
- Las entidades cuya actividad sea establecimientos financieros de crédito.
- Las entidades que presten servicios como aseguradoras y reaseguradoras.
- Las entidades que sean empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Las entidades cuyas actividades sean la prestación de servicios de distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades y servicios de publicidad y prospección comercial, incluyendo las entidades de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades y servicios que impliquen la elaboración de perfiles de las mismas.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
-
Las entidades que tengan como uno de sus objetos y servicios la emisión de informes comerciales que puedan referirse a personas físicas.
-
Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
-
Las entidades o empresas cuya actividad sean servicios de seguridad privada.
-
Las federaciones deportivas cuando traten datos de menores de edad.
-
Las entidades responsables o encargadas del tratamiento no incluidas en el párrafo anterior podrán designar de manera voluntaria un DPD que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la citada ley orgánica española.
Si tu empresa o negocio no está incluido dentro de las categorías anteriores, no es necesario tener un Delegado de Protección de Datos.
Sin embargo, es recomendable.
Codaprot Cumplimiento Normativo le ofrece la posibilidad de externalizar esta figurar y contar con grandes profesionales en materia de Protección de Datos que asumirán las funciones establecidas en la normativa, asesorando a la entidad para lograr un adecuado cumplimiento de la normativa, asumiendo ese papel de intermediador en caso de conflicto entre los interesados y la compañía, elaborando informes de seguimientos periódicos que ayuden a la empresa a mejorar su ratio de cumplimiento y actuando como persona de enlace con la AEPD.