Ante la publicación de la LEY ORGANICA 3/2018, DE 5 DE DICIEMBRE DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES, (en adelante la LOPDGDD) respecto a la figura del Delegado de Protección de Datos, se han ampliado el número de sujetos obligados a la designación obligatoria de esta figura, respecto a las anteriores iniciadas con el RGPD. Sin ánimo de ser extenso en la exposición de la La figura del Delegado de Protección de Datos  (en adelante DPD) y de manera exegética vamos a analizar la figura del DPD desde los siguientes aspectos:

Sujetos obligados a su designación.

En este apartado solo haremos mención a los clientes obligados legalmente a la designación de Delegado de Protección de Datos que sean más comunes, evitando de esa forma entrar en detalle de todos los sujetos obligados.

Están obligados a designar a un Delegado de Protección de Datos los siguientes sujetos:

  • MANCOMUNIDADES DE MUNICIPIOS.
  • EMPRESAS MUNICIPALES DE LIMPIEZA.
  • EMPRESAS MUNICIPALES DE AGUA.
  • EMPRESA MUNICIPALES DE TRANSPORTE DE AUTOBUSES.
  • PARTIDOS POLÍTICOS, CONGREGACIONES RELIGIOSAS, IGLESIAS EVANGÉLICAS, IGLESIA CATÓLICA. HOSPITALES,…, SIEMPRE QUE TRATEN DATOS A GRAN ESCALA.
  • LOS COLEGIOS PROFESIONALES Y SUS CONSEJOS GENERALES.
  • COLEGIOS CONCERTADOS O PRIVADOS, UNIVERSIDADES PÚBLICAS, UNIVERSIDADES PRIVADAS.
  • CLÍNICAS PRIVADAS, QUE NO SEAN DE TITULARIDAD DE UN MEDICO Y ESTÉN OBLIGADOS A CONSERVAR LOS HISTORIALES MÉDICOS.
  • EMPRESAS DE SEGURIDAD PRIVADA.
  • FEDERACIONES DEPORTIVAS QUE TRATEN DATOS MENORES DE EDAD.

¿Quién puede ser Delegado de Protección de Datos ?

La figura del delegado de protección de datos puede ser desempeñada por personal interno (empleado) o externo a través de un contrato de prestación de servicios.

El DPD debe tener:

A) Cualificación profesional. Tal y como indica el artículo 37.5 del RGPD, el DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, se refiere expresamente el Reglamento a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones asignadas.

El Reglamento Europeo, como vemos, no establece ningún criterio de titulación para los Delegado de Protección de Datos , debiendo tener esto en cuenta, y así lo ha señalado la propia AEPD.

B) Posición del DPD en la entidad. El artículo 38 del RGPD señala que el responsable y el encargado del tratamiento:

  • Garantizarán que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos..
    El DPD desarrollará acciones de participación de:
  1. ser invitado a reuniones relativas a la gestión de la organización;
  2. recibir información relevante de forma puntual a fin de que muestre su parecer;
  3. ser consultado cuando se produzca una violación de datos u otro incidente de seguridad.
  • Respaldarán al DPD en el desempeño de las funciones facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  • Garantizarán que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.

C) Rendición de cuentas. El DPD debe rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado, tal y como reza el artículo 38.3 del Reglamento Europeo.

La identidad del DPD deberá ser comunicada a la Agencia Española de Protección de Datos, convirtiéndose el DPD desde ese momento en el interlocutor entre la AEPD y el responsable del tratamiento, y todo ello en el plazo de 10 días desde la fecha de nombramiento.

¿Cuáles son sus funciones o en qué consistiría los servicios a prestar por el Delegado de Protección de Datos?

El DPD es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre:

  1. sus obligaciones legales en materia de protección de datos, así,
  2. como de velar o supervisar el cumplimiento normativo al respecto, y
  3. de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.

Tal y como señala el artículo 39 RGPD, el Delegado de Protección de Datos tiene las siguientes funciones, que pueden ser ampliadas por cada entidad u organización:

A) FUNCIÓN DE INFORMACIÓN Y ASESORAMIENTO NORMATIVO.

  • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban. Por tanto, se exige una formación en privacidad muy cualificada por parte del DPD, tal y como señala, además del sentido común, el artículo 37.5 del RGPD.
  • Debe asesorar al responsable o al encargado del tratamiento acerca de la evaluación de impacto relativa a la protección de datos (también es responsable de supervisar su realización).
  • Debe informar y asesorar a los empleados que traten datos personales en el seno de las organizaciones responsables o encargadas del tratamiento. A tal fin debería existir un canal interno, ya sea a través de la intranet corporativa, o a través de un buzón interno de consultas.

B) FUNCIÓN DE SUPERVISIÓN DEL CUMPLIMIENTO NORMATIVO. AUDITORÍA

  • Debe supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad u organización.
  • Debe revisar las políticas internas de privacidad en la organización y su adecuación normativa.
  • Debe asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
  • Se debe ocupar de la realización de acciones internas de concienciación respecto al cumplimiento efectivo de las normas sobre privacidad, incluidas las de carácter interno.
  • Debe realizar acciones formativas para el personal que participa en las operaciones de tratamiento de datos.
  • Debe supervisar las evaluaciones de impacto en la protección de datos.

C) FUNCIÓN DE COOPERACIÓN Y ENLACE CON LA AUTORIDAD DE CONTROL

  • Debe cooperar con la autoridad de control, o agencia de protección de datos correspondiente.
  • Debe actuar como punto de contacto de la Agencia para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa (que se detalla en el artículo 36 del RGPD respecto a evaluaciones de impacto que muestren alto riesgo para la privacidad), y consultar en su caso, sobre cualquier otro asunto.

D) FUNCIÓN DE ATENCIÓN A LOS INTERESADOS

  • Debe atender a los interesados que lo soliciten. Al respecto, el artículo 38.4 del RGPD indica que «los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos».

En resumen todas estas funciones genéricas del Delegado de Protección de Datos se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

  1. Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
  2. Identificación de las bases jurídicas de los tratamientos.
  3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  4. Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específico distintas de las establecidas por la normativa general de protección de datos.
  5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos. (ejemplo cámaras de videovigilancia)
  6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  9. Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  10. Diseño e implantación de políticas de protección de datos.
  11. Auditoría de protección de datos.
  12. Establecimiento y gestión de los registros de actividades de tratamiento.
  13. Análisis de riesgo de los tratamientos realizados.
  14. Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  18. Realización de evaluaciones de impacto sobre la protección de datos.
  19. Relaciones con las autoridades de supervisión.
  20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

Las sanciones impuestas al responsable o encargado de tratamiento por no designar un Delegado de Protección de Datos en los supuestos establecido en el artículo 37 del RGPD podrán alcanzar según el art. 83 del citado texto normativo la cantidad máxima de hasta una cantidad de 10 millones de euros o una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

En cuanto a los servicios a prestar se hacen habitualmente con visitas presenciales en las instalaciones del responsable del tratamiento y en términos generales pueden consistir en:

  • Revisión de clausulados y/o redacción de los mismos.
  • Determinación de los registros de actividades de tratamiento.
  • Elaboración de evaluación de impacto.
  • Análisis de riesgos.
  • Formación al personal.
¿Te interesa?