El Delegado de Protección de Datos (DPD), también conocido como Data Protection Officer (DPO), es el profesional que debe supervisar el cumplimiento de las normas de protección de datos personales en la empresa u organización, así como atender y gestionar las consultas que le dirijan los afectados sobre sus datos personales.
Esta figura esencial para garantizar el derecho está regulada en el Reglamento General de Protección de Datos (RGPD) y debe cumplir con una serie de requisitos de designación, posición y formación. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), concreta para España algunos casos en que es obligatoria su designación.
Tal como explica el abogado Efrén Díaz, responsable del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet y DPO europeo, “las funciones del Delegado de Protección de Datos son la columna vertebral para garantizar la protección de un derecho fundamental europeo como la protección de datos. La información y asesoramiento a las empresas y empleados, la supervisión del cumplimiento de las normas de protección de datos personales o la evaluación de impacto de la privacidad son tareas cualificadas que requieren conocimiento y experiencia, especialmente para asegurar la legalidad y la continuidad y mejora del negocio y de la actividad empresarial con respeto a la privacidad de las personas”.
La labor del Delegado de Protección de Datos es clave porque una de sus principales funciones consiste en informar al responsable o al encargado del tratamiento de los datos personales sobre sus obligaciones legales, así como asegurar el cumplimiento normativo y cooperar con la autoridad de control, como la Agencia Española de Protección de Datos (AEPD) en España. De hecho, el DPD debe ejercer como contacto entre la autoridad y la entidad responsable del tratamiento de los datos.
Designación obligatoria para determinadas empresas
Numerosas empresas desconocen que, para cumplir correctamente con la normativa vigente de protección de datos, deben designar obligatoriamente un Delegado de Protección de Datos. Pero, ¿cuándo es necesario disponer de un DPD? El RGPD señala estos casos:
- Cuando una autoridad pública lleve a cabo el tratamiento de los datos personales. La excepción a este requisito son los tribunales, cuando actúen en su función judicial.
- Cuando el responsable o encargado del tratamiento desarrollen actividades u operaciones que requieran de una observación habitual y sistemática de interesados a gran escala. Aunque el RGPD no concreta qué sea “gran escala”, el European Data Protection Board (EDPB) aclara los factores a considerar, como el número de interesados afectados, el volumen o sensibilidad de datos que se van a tratar, la duración de los tratamientos o su extensión geográfica.
- Cuando se trate a gran escala categorías especiales de datos, es decir, datos relativos a:
- Origen étnico o racial.
- Opiniones políticas, convicciones religiosas o filosóficas.
- La afiliación sindical.
- El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
- Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
- Condenas e infracciones penales o medidas de seguridad conexas.
La LOPDGDD recoge para España un listado mucho más exhaustivo de empresas, organizaciones y sectores que han de designar DPD. Cabe destacar que sólo es obligatorio contratar un Delegado de Protección de Datos en ciertos casos y que hay profesionales de reconocida trayectoria profesional que ofrecen estos servicios de forma externa, pero siempre que desempeñen sus funciones con independencia y en coordinación con el más alto nivel jerárquico de la empresa. Esto quiere decir que debería ser una figura distinta e independiente al del abogado “in house” de la empresa.
El perfil del DPD
Por las funciones que ha de ejercer, la Ley exige que el DPD cuente con una formación específica para desarrollar sus funciones con mayor seguridad jurídica para las empresas y organizaciones que deben designar un Delegado de Protección de Datos.
El abogado Efrén Díaz explica que “la designación de un Delegado de Protección de Datos empresarial ha de basarse en la elección de un perfil con una sólida y acreditable formación jurídica y en una amplia experiencia práctica en sede administrativa y judicial sobre asuntos de privacidad, tecnológicos, corporativos y organizativos”.
Para la cualificación del DPD, además de experiencia práctica en materia de protección de datos y capacidad para desarrollar sus funciones, se tendrá particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos (art. 35 LOPDGDD), además de los mecanismos voluntarios de certificación. En ese caso, como señala la Agencia Española de Protección de Datos (AEPD), esta certificación debe ser expedida por la Entidad Nacional de Acreditación (ENAC).
Me interesa
- ¿Qué empresas deben contar con un Delegado de Protección de Datos?
- ¿Cómo se abona la paga extra y las vacaciones a los trabajadores en ERTE?
- Toma de temperatura, ¿existe tratamiento de datos personales?
- Nuevas exenciones de los ERTE y otras claves laborales
- La privacidad en el teletrabajo