El Reglamento General de Protección de Datos (RGPD) introduce novedades en materia de protección de datos. Una de estas es la obligación de nombrar una nueva figura, un Delegado de Protección de Datos (DPD o DPO en inglés). Esta obligación se dará en función del tratamiento de datos llevado a cabo.

Esta obligación se encuadra dentro del principio de responsabilidad proactiva del responsable del tratamiento en el ámbito de protección de datos. Otorga un mayor control y eficacia en el cumplimiento de la normativa.

 

¿Qué es un Delegado de Protección de Datos?

El Delegado de Protección de Datos es una nueva figura introducida por el Reglamento General de Protección de Datos (RGPD).

Para poder obtener la certificación de delegado de protección de datos, la AEPD (Agencia Española de Protección de Datos) ha promovido un esquema de Certificación. Este permite que los responsables puedan escoger a profesionales con competencias como DPD certificadas por entidades acreditadas.

¿Cuáles son sus funciones?

Según el esquema de Certificación promovido por la AEPD el DPD es un profesional cuyas funciones se recogen en el artículo 39 del RGPD y en los artículos 36 y 37 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Este se ocupa de la aplicación de la legislación sobre privacidad y protección de datos.

El DPD tendrá como mínimo las siguientes funciones:

  1. Informar y asesorar al responsable, o al encargado del tratamiento,y a las personas autorizadas para tratar los datos personales bajo su autoridad directa. En virtud del RGPD, la LOPDPGDD y de otras disposiciones de protección de datos de la UE o de sus Estados miembros.
  2. Aconsejar sobre el cumplimiento de lo dispuesto en el RGPD, la LOPDPGDD y en otras disposiciones de protección de datos de la UE o de sus Estados miembros.
  3. Supervisar la asignación de responsabilidades.
  4. Concienciación y formación del personal que participa en las operaciones de tratamiento.
  5. Supervisar las auditorías correspondientes.
  6. Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativas a la protección de datos. Además de supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  7. Cooperar y actuar como interlocutor con la autoridad de control. P las cuestiones relativas al tratamiento de datos personales, incluida la consulta previa a que se refiere el artículo 36 del RGPD.

Formación y conocimientos de DPD

El Delegado de Protección de Datos desempeñará sus funciones prestando atención a los riesgos asociados a las operaciones de tratamiento. Teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento.

Para llevar a cabo sus funciones el DPD debe tener conocimientos especializados del Derecho y la práctica en materia de protección de datos. Para así poder llevar a cabo sus tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

  1. Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
  2. Identificación de las bases jurídicas de los tratamientos.
  3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos
  4.  Determinación de la existencia de normativa sectorial que pueda estipular condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  6. Establecimiento de procedimientos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados
  7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  9. Identificación de los instrumentos para las transferencias internacionales de datos adecuados a las necesidades y características de la organización, y de las razones que justifiquen la transferencia.
  10. Diseño e implantación de políticas de protección de datos.
  11. Auditoría de protección de datos.
  12. Establecimiento y gestión de los registros de actividades de tratamiento.
  13. Análisis de riesgos de los tratamientos realizados.
  14. Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  18. Realización de evaluaciones de impacto sobre la protección de datos.
  19. Relaciones con las autoridades de supervisión.
  20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

 

¿Cuándo es necesario un Delegado de Protección de Datos?

Según el artículo 37 del RGPD, el responsable y el encargado del tratamiento de datos designarán un DPD siempre que:

  1. Sea una autoridad u organismo publico la que efectúa el tratamiento de datos.
  2. Las actividades principales sean operaciones de tratamiento que, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala o consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.