El Delegado de Protección de Datos, o DPO (Data Protection Officer), es considerado como uno de los ejes principales del cumplimiento de la responsabilidad activa. Es obligatorio para algunas entidades.
Regulado, por un lado, artículos 37 al 39, y considerando 37 del Reglamento General de Protección de Datos, y por otro, en los artículos 34 al 37 de la Ley Orgánica de Protección de Datos y Garantía de derechos digitales.
¿Qué es un Delegado de Protección de Datos?
Es la persona encargada de informar al responsable sobre sus obligaciones en materia de protección de datos. También se encarga de supervisar el cumplimiento normativo y de cooperar con la autoridad de control, actuando como punto de contacto entre ésta, las personas afectadas y el responsable del tratamiento.
¿Quién puede ser Delegado de Protección de Datos?
El delegado de protección de datos será una persona designada atendiendo a sus cualidades profesionales. En particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que indicamos a continuación.
El DPD puede ejercer sus funciones de dos formas. Puede formar parte de la plantilla del responsable o del encargado del tratamiento. O puede desempeñar sus funciones de manera externa, en el marco de un contrato de servicios.
Por otro lado, no es necesaria la certificación para desempeñar como funciones de Delegado de Protección de Datos. Sin embargo existen diversas entidades encargadas de las certificaciones como DPO.
¿Qué funciones tiene un DPO?
El DPD tendrá como mínimo las siguientes funciones:
- a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y la demás normativa aplicable.
- b) Supervisar el cumplimiento de la normativa de protección de datos.
- c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- d) Cooperar con la autoridad de control.
- e) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro asunto.
- f) Atender a los interesados que soliciten e intermediar en casos de reclamación. Todo ello con el objeto de una resolución amistosa de las reclamaciones.
¿Cuándo es obligatorio nombrar un DPO?
En primer lugar, el incumplimiento de la obligación de nombrar un DPO cuando sea obligatorio su nombramiento se considera una infracción grave de acuerdo al artículo 73 LOPDGDD. En este post vimos como fueron apercibidos tres Ayuntamientos por no designar DPD, cuando era obligatorio.
El RGPD establece tres supuestos en los que obligatoriamente se debe designar un Delegado de Protección de Datos:
- Entidades públicas, excepto Juzgados y Tribunales que actúen en ejercicio de su función judicial.
- Entidades que realicen observación habitual y sistemática de interesados a gran escala.
- Entidades cuya actividad principal consista en el tratamiento a gran escala de datos personales de categorías especiales o relativos a condenas e infracciones penales.
Por su parte, la LOPDGDD ha concretado aún más los supuestos en los que es obligatorio el nombramiento de un DPO:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Por último, las entidades que no se encuentren dentro de estos supuestos, podrán voluntariamente designar un Delegado de Protección de Datos, para potenciar el cumplimiento preventivo de sus obligaciones.