Debido a la creciente complejidad de los tratamientos, el uso intensivo de tecnologías digitales y al impacto que determinadas actividades pueden tener sobre los derechos y libertades de las personas, algunas organizaciones específicas precisan contar con un asesor especializado, independiente y con conocimientos jurídicos y técnicos suficientes para supervisar de forma continuada el cumplimiento de la normativa.

El Delegado de protección de datos facilita la implantación de políticas internas, la gestión de riesgos y la interlocución con la Agencia Española de Protección de Datos. Su presencia efectiva permite anticipar incumplimientos, reducir la exposición a sanciones y demostrar una verdadera cultura de protección de datos, alineada con las exigencias del marco normativo español y europeo.

IMPORTANTE

No designar Delegado de Protección de Datos en supuestos obligatorios constituye una infracción grave del RGPD, sancionable con multas administrativas significativas.

La entrada El Delegado de protección de datos aliado estratégico en el cumplimiento normativo se publicó primero en Adaptación RGPD.

Hablemos claro: el mundo de la protección de datos puede parecer un laberinto de papeleos y normas frías. Pero si hay una figura clave dentro del Reglamento General de Protección de Datos (RGPD) que actúa como un “faro” para las organizaciones, esa es el Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés).

Muchas empresas se preguntan si realmente necesitan nombrar a uno. ¿Es obligatorio para todo? No. Pero si tu encajas en ciertos perfiles, no es solo una recomendación, es un requisito legal que no puedes ignorar.

Vamos a desglosar, en lenguaje sencillo, en qué casos la ley te obliga a tener este “guardián” de la privacidad.

1. El Sector Público: La transparencia es mandatoria

Esta es la regla más sencilla. Si eres una autoridad u organismo público (ayuntamientos, ministerios, administraciones autónomas, etc.), tienes que tener un DPD, sin excepciones. La única salvedad son los tribunales cuando están actuando estrictamente en su función judicial (allí entran otros matices). La idea aquí es clara: la gestión de datos ciudadanos por parte de la administración requiere un control experto y constante.

2. El “Gran Hermano”: Observación sistemática a gran escala

¿Tu negocio se basa en vigilar, monitorizar o rastrear a las personas de forma habitual? Si la respuesta es sí, probablemente necesites un DPD. Imagina empresas que gestionan videovigilancia masiva en espacios públicos, o aquellas que hacen tracking intensivo de comportamiento en internet (como crear perfiles detallados de lo que compramos o navegamos). Si tu actividad principal consiste en esta observación sistemática y a gran escala de individuos, necesitas a alguien que garantice que no estás cruzando la línea de la privacidad.

3. El manejo de información sensible: Datos especiales a gran escala

Aquí hablamos de lo más íntimo de las personas. No es lo mismo gestionar una lista de correos que manejar datos de salud, orientación política, religión, opiniones sindicales o datos biométricos. La ley llama a esto “categorías especiales de datos”. Si tu actividad principal (el núcleo de tu negocio) implica tratar este tipo de información sensible o datos relativos a condenas penales e infracciones, y lo haces a gran escala, la presencia de un DPD es obligatoria. Es la única forma de asegurar que información tan delicada esté blindada.

4. Los sectores específicos (según la ley española)

Además del RGPD europeo, en España tenemos nuestra propia normativa (LOPDPGDD) que añade escenarios concretos. Aunque no siempre impliquen “gran escala” en términos gigantescos, la ley exige esta figura por la sensibilidad del sector:

• Centros educativos: Por la protección de los datos de menores de edad.
• Entidades financieras y aseguradoras: Por el volumen de datos económicos y patrimoniales.
• Centros sanitarios: Por la obvia protección de la salud de los pacientes.
• Empresas de servicios de comunicaciones electrónicas: Think telecomunicaciones y operadoras de internet, que manejan nuestras llamadas y navegación.

Y una vez tienes al DPD, ¿qué pasa?

Si después de leer esto ves que tu empresa encaja en uno de estos supuestos, el paso siguiente es vital: el nombramiento oficial no es un trámite interno silencioso.

Una vez que designes a esa persona (que puede ser un empleado o un servicio externo), tienes obligaciones de comunicación:

1. Notificar a la Autoridad de Control: Tienes un plazo de 10 días desde el nombramiento para comunicárselo a la Agencia Española de Protección de Datos (o al autonómico que corresponda). No puedes dejarlo para “cuando tengas tiempo”.
2. Hacerlo público: Los datos de contacto de tu DPD deben estar visibles. Normalmente esto se publica en la web de la empresa, de forma que cualquier ciudadano o cliente pueda contactar con él si tiene dudas sobre cómo estás usando sus datos.

En resumen: Tener un DPD no es un obstáculo, es una inversión en confianza. Si tu empresa trabaja con datos sensibles, observa a gran escala o pertenece al sector público, esta figura es tu mejor aliada para cumplir con la ley y dormir tranquilo.

IMPORTANTE

El DPD actúa como garante interno del cumplimiento normativo, asesorando, supervisando y sirviendo de enlace con la autoridad de control.

La entrada Supuestos de designación obligatoria del Delegado de protección de datos. se publicó primero en Adaptación RGPD.

En el Reglamento Europeo de protección de datos está regulada su designación, posición y funciones. En nuestra Ley Orgánica la LOPDGDD existe un Capítulo completo dedicado a regular la figura del DPD.

Podemos destacar la función que el DPD tiene como interlocutor del responsable o encargado de tratamiento ante la AEPD y las autoridades autonómicas de protección de datos. En este sentido el DPD podrá inspeccionar los procedimientos que aplique la entidad relacionados con la protección de datos y emitir recomendaciones.

Además, algo novedosos que supuso la entrada en vigor de la LOPDGDD, es que cuando la AEPD o la autoridad competente reciba una reclamación de un afectado, podrá hacerla llegar al DPD para que la resuelva en el plazo de un mes. De igual modo, cuando el responsable y encargado de tratamiento hubieran designado un DPD, el interesado podrá dirigir su reclamación ante el DPD y éste deberá resolver en el plazo máximo de dos meses.

IMPORTANTE

Se considera una infracción grave la falta de designación del DPD cuando su nombramiento sea exigible por la normativa de protección de datos.

La entrada Roles en la protección de datos: el delegado de protección de datos se publicó primero en Adaptación RGPD.

La AEPD ha ido señalando de forma reiterada el papel fundamental que dentro del modelo de responsabilidad activa desempeña el delegado de protección de datos. Su nombramiento no se debe interpretar solamente como una formalidad, sino que, se tendrán que aplicar todos los requisitos que se recogen en la normativa aplicable.

Uno de estos requisitos, es la asignación de funciones, que como mínimo serán las recogidas en la norma, entre las que se encuentran, las funciones de asesoramiento y supervisión dirigidas a garantizar un adecuado cumplimiento de la normativa de protección de datos. Por su parte, tanto el responsable como el encargado del tratamiento, establecerán los medios necesarios para que el delegado de protección de datos pueda participar de forma adecuada y en tiempo oportuno de las cuestiones relativas a la protección de datos personales.

En cuanto a los requisitos de capacitación, el RGPD dispone que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales, y en particular, a los conocimientos especializados que tenga del Derecho y la práctica en materia de protección de datos, así como su capacidad para desempeñar las funciones que la normativa de protección de datos le asigne.

IMPORTANTE

La cualificación del delegado de protección de datos podrá demostrarse a través de mecanismos de certificación

La entrada El nombramiento y funciones del Delegado de Protección de Datos se publicó primero en Adaptación RGPD.

La mayor novedad que presentaba el Reglamento (UE) 2016/679 era la evolución del modelo basado en el control de cumplimiento a otro que determina el principio de responsabilidad activa. Este principio exige al responsable y encargado del tratamiento una previa valoración del riesgo que se puede generar en el tratamiento de los datos de carácter personal y adoptar de este modo las medidas que procedan.

Además, es el responsable del tratamiento a quién le corresponde determinar la base jurídica que puede amparar un tratamiento. Es en este nuevo modelo de responsabilidad activa, donde la figura del delegado de protección de datos resulta determinante como apoyo para el responsable y encargado del tratamiento.

Para ello, se indica en el informe que, tanto el responsable como el encargado, tienen que garantizar que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Se enumeran también cuáles son las funciones del delegado de protección de datos contenidas en el art. 39 del RGPD. Entre otras, tendrá que informar y asesorar al responsable, encargado y a sus empleados de las obligaciones que les incumbe en materia de protección de datos.

IMPORTANTE

La designación de delegado de protección de datos en algunos casos tiene carácter obligatorio, el incumplimiento de su nombramiento supone una sanción grave.

En Adapta RGPD Ponemos a su disposición un DPD o delegado de protección de datos externo especialista en prtección de datos.

La entrada EL delegado de protección de datos, papel fundamental en el nuevo modelo de responsabilidad activa. se publicó primero en Adaptación RGPD.

¿Cuáles son sus principales funciones?

• Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones contenidas en el RGPD y en nuestra LOPDPGDD
• Supervisar el cumplimiento de la normativa de protección de datos en las actividades realizadas por la empresa.
• Supervisar las políticas de protección de datos, incluyendo la asignación de responsabilidades, la concienciación y formación del personal en protección de datos.
• Verificar las auditorías correspondientes.
• Ofrecer asesoramiento en la evaluación de impacto y su verificación.
• Cooperar y actuar como punto de contacto con la autoridad de control.

IMPORTANTE
Las Autoridades de control podrán remitir al Delegado de Protección de datos las reclamaciones interpuestas por los ciudadanos

La entrada Principales funciones del Delegado de Protección datos se publicó primero en Adaptación RGPD.

Esta figura, conocida también como DPD/DPO, en algunos casos, será designada obligatoriamente tanto por el responsable como encargado de tratamiento. ¿Cuáles son estos supuestos?

• Las autoridades y organismos públicos.
• Empresas que tratan datos personales con fines de observación sistemática y habitual a gran escala.
• Empresas que tratan datos de categorías especiales y datos relativos a condenas e infracciones penales a gran escala.

Además, nuestra Ley Orgánica en su art. 34 LOPDPGDD recoge una lista de sujetos obligados. Estos serían algunos de ellos: (ver lista completa en el artículo)

• Responsables de ficheros de blanqueo de capitales.
• Los centros docentes, Universidades públicas y privadas.
• Comercializadoras de servicios de energía.

IMPORTANTE

La falta de designación de DPO/DPD es objeto de cuantiosas sanciones económicas por la AEPD.

La entrada La figura del Delegado de Protección de Datos se publicó primero en Adaptación RGPD.

Para que el DPD pueda realizar sus funciones con éxito, el responsable y encargado del tratamiento tienen que garantizar los siguientes aspectos recogidos en el art.38 del RGPD;

1º Participar de forma adecuada y oportuna en las cuestiones relativas a la protección de datos personales. En este sentido, el Comité Europeo de protección de datos aconseja que, se invite al DPD a participar con regularidad en las reuniones con los cuadros directivos altos y medios.

2º Respaldar al DPD en todas sus funciones facilitando los recursos necesarios para su desempeño. Así como el acceso a los datos personales y operaciones de tratamiento.

3º Garantizar la independencia del DPD. No podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones. Siguiendo con las recomendaciones del Comité Europeo, la opinión del DPD deberá tenerse siempre debidamente en cuenta, para ello, en caso de desacuerdo, sería conveniente documentar los motivos por los que no se sigue el consejo del DPD.

4º Evitar el conflicto de intereses con otras funciones desempeñadas por el DPD.

IMPORTANTE

El responsable y encargado del tratamiento no podrán oponer la existencia del deber de confidencialidad ante el acceso del DPD a los datos personales.

La entrada ¿Cómo debe ser la participación del delegado de protección de datos en una entidad? se publicó primero en Adaptación RGPD.

En el art. 34 de nuestra ley orgánica LOPDGDD, se recogen los supuestos en que resulta obligatoria la designación de un DPD. En ese listado están, entre otros, los colegios profesionales y sus consejos generales, centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en su legislación competente, así como las Universidades públicas o privadas (…)

¿Qué pasa sino estoy en ninguno de estos supuestos? En este caso, habrá que tener en cuenta los requisitos contenidos en el RGPD: si nuestro tratamiento requiere una observación habitual y sistemática de interesados a gran escala, si se tratan datos a gran escala de categorías especiales de datos personales o bien el tratamiento lo lleva a cabo una autoridad u organismo público.

Si estamos en alguno de los supuestos anteriores, debemos nombrar un DPD para evitar sanciones. La AEPD ya ha comenzado a sancionar a las entidades. Como, por ejemplo, la reciente sanción de 25.000 € impuesta a la empresa GLOVO.

IMPORTANTE

La designación del DPD debe comunicarse a la AEPD en un plazo de 10 días, a través de su sede electrónica.

La entrada ¿Cuándo se debe nombrar un DPD y cuáles son las consecuencias si no se hace? se publicó primero en Adaptación RGPD.

En el RGPD no se define claramente el significado de habitual y sistemático, aunque si que encontramos alguna mención en sus considerandos cuando habla de observación del comportamiento de los interesados, como una forma de seguimiento y creación de perfiles en internet, pero no solamente tenemos que quedarnos en ese ámbito.

El Grupo de trabajo del art.29, el actual Comité Europeo, nos da unas pistas de lo que pueden significar dichos términos:

Habitual: continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados.

Sistemática: que se produce de acuerdo a un sistema; preestablecido, organizado o metódico.

Algunas actividades que constituyen una observación habitual y sistemática, serían, por ejemplo, las aplicaciones móviles que realizan un seguimiento de la ubicación del usuario y los dispositivos ponibles que analizan nuestros datos de bienestar, estado físico y salud.

IMPORTANTE

Los desarrolladores de aplicaciones que realicen este tipo de actividades de seguimiento, tendrán que cumplir con todos los requisitos que exige la normativa en materia de protección de datos.

La entrada ¿Cuál es el significado en materia de protección de datos de observación habitual y sistemática? se publicó primero en Adaptación RGPD.