¿Necesita mi empresa un Delegado de Protección de Datos?

La figura del Delegado de Protección de Datos (DPD) está en auge, y es normal, debido a las obligaciones derivadas del RGPD, el Reglamento General de Protección de Datos  que empezó a aplicarse el 25 de mayo de 2018.

¿Qué es un Delegado de Protección de Datos?

No caigamos en el error de confundir a estos profesionales con el responsable de datos de una empresa o el encargado de tratamiento de datos. La figura del delegado de protección de datos es designada por estos profesionales (los responsables y encargados de protección de datos) en los casos que obliga la LOPDGDD o por voluntad propia de empresas, entidades o Administraciones.

El DPD es un profesional independiente especializado en legislación, sobre todo la relacionada con la protección y control de datos, que está destinado a ayudar a las empresas en el cumplimiento de la legislación actual. También, son los encargados de actuar como interlocutores ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.

El DPD debe comunicar a la dirección de la empresa y a las autoridades si existe alguna vulneración relevante relacionada con la protección de datos. Además, también es la persona a la que los particulares pueden dirigirse para todas las cuestiones relativas al tratamiento de sus datos personales por parte de una empresa, entidad o Administración Pública.

¿Cuáles son las funciones de un DPD?

Las funciones del DPE están detalladas en el artículo 39 del RGPD, también denominado, Reglamento de la Unión Europea 679/2016 del 27 de abril del 2016. El DPD se centra en los riesgos asociados a las operaciones de tratamiento de datos, teniendo en cuenta la naturaleza, el alcance, el contexto y fines de tratamiento. Como mínimo, citando el reglamento deberá ejercer las siguientes funciones: 

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión de los Estados miembros.
• Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorias correspondientes.
• Ofrecer asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar se aplicación de conformidad con el artículo 35 del Reglamento.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Qué empresas están obligadas a tener un DPD?

No todas las empresas necesitan un delegado de protección de datos. Pero en estas ocasiones aquí detalladas necesitan una figura independiente que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones, es decir, el delegado de protección de datos.   

El artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), están obligadas a nombrar un delegado de protección de datos:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

¿Puede ser contratado en plantilla?

La respuesta es sí, el DPD puede ser parte de la plantilla o subcontratar el servicio a una empresa externa. Lo esencial es garantizar su independencia. Aparte de la formación y experiencia necesaria para desempeñar el cargo de Delegado de Protección de Datos, se le exige integridad y un elevado nivel de ética profesional.