La norma refuerza, además, su independencia funcional al disponer que el DPD “no recibirá ninguna instrucción” en el desempeño de sus funciones, que “no será destituido ni sancionado” por el ejercicio de las mismas y que “rendirá cuentas directamente al más alto nivel jerárquico” de la organización. Estas garantías no son meramente formales, sino que aseguran la objetividad y autonomía de su criterio técnico.

Asimismo, el RGPD exige que se le proporcionen los recursos necesarios, acceso a la información y formación adecuada, evitando cualquier conflicto de intereses.

IMPORTANTE

El Delegado de Protección de Datos debe actuar con independencia, recursos suficientes y autonomía, garantizando una supervisión eficaz del cumplimiento normativo del RGPD.

La entrada Principio de independencia y medios necesarios para el ejercicio de las funciones del DPD se publicó primero en Adaptación RGPD.

Debido a la creciente complejidad de los tratamientos, el uso intensivo de tecnologías digitales y al impacto que determinadas actividades pueden tener sobre los derechos y libertades de las personas, algunas organizaciones específicas precisan contar con un asesor especializado, independiente y con conocimientos jurídicos y técnicos suficientes para supervisar de forma continuada el cumplimiento de la normativa.

El Delegado de protección de datos facilita la implantación de políticas internas, la gestión de riesgos y la interlocución con la Agencia Española de Protección de Datos. Su presencia efectiva permite anticipar incumplimientos, reducir la exposición a sanciones y demostrar una verdadera cultura de protección de datos, alineada con las exigencias del marco normativo español y europeo.

IMPORTANTE

No designar Delegado de Protección de Datos en supuestos obligatorios constituye una infracción grave del RGPD, sancionable con multas administrativas significativas.

La entrada El Delegado de protección de datos aliado estratégico en el cumplimiento normativo se publicó primero en Adaptación RGPD.

¿Cuáles son sus principales funciones?

• Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones contenidas en el RGPD y en nuestra LOPDPGDD
• Supervisar el cumplimiento de la normativa de protección de datos en las actividades realizadas por la empresa.
• Supervisar las políticas de protección de datos, incluyendo la asignación de responsabilidades, la concienciación y formación del personal en protección de datos.
• Verificar las auditorías correspondientes.
• Ofrecer asesoramiento en la evaluación de impacto y su verificación.
• Cooperar y actuar como punto de contacto con la autoridad de control.

IMPORTANTE
Las Autoridades de control podrán remitir al Delegado de Protección de datos las reclamaciones interpuestas por los ciudadanos

La entrada Principales funciones del Delegado de Protección datos se publicó primero en Adaptación RGPD.

Esta figura, conocida también como DPD/DPO, en algunos casos, será designada obligatoriamente tanto por el responsable como encargado de tratamiento. ¿Cuáles son estos supuestos?

• Las autoridades y organismos públicos.
• Empresas que tratan datos personales con fines de observación sistemática y habitual a gran escala.
• Empresas que tratan datos de categorías especiales y datos relativos a condenas e infracciones penales a gran escala.

Además, nuestra Ley Orgánica en su art. 34 LOPDPGDD recoge una lista de sujetos obligados. Estos serían algunos de ellos: (ver lista completa en el artículo)

• Responsables de ficheros de blanqueo de capitales.
• Los centros docentes, Universidades públicas y privadas.
• Comercializadoras de servicios de energía.

IMPORTANTE

La falta de designación de DPO/DPD es objeto de cuantiosas sanciones económicas por la AEPD.

La entrada La figura del Delegado de Protección de Datos se publicó primero en Adaptación RGPD.

Para que el DPD pueda realizar sus funciones con éxito, el responsable y encargado del tratamiento tienen que garantizar los siguientes aspectos recogidos en el art.38 del RGPD;

1º Participar de forma adecuada y oportuna en las cuestiones relativas a la protección de datos personales. En este sentido, el Comité Europeo de protección de datos aconseja que, se invite al DPD a participar con regularidad en las reuniones con los cuadros directivos altos y medios.

2º Respaldar al DPD en todas sus funciones facilitando los recursos necesarios para su desempeño. Así como el acceso a los datos personales y operaciones de tratamiento.

3º Garantizar la independencia del DPD. No podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones. Siguiendo con las recomendaciones del Comité Europeo, la opinión del DPD deberá tenerse siempre debidamente en cuenta, para ello, en caso de desacuerdo, sería conveniente documentar los motivos por los que no se sigue el consejo del DPD.

4º Evitar el conflicto de intereses con otras funciones desempeñadas por el DPD.

IMPORTANTE

El responsable y encargado del tratamiento no podrán oponer la existencia del deber de confidencialidad ante el acceso del DPD a los datos personales.

La entrada ¿Cómo debe ser la participación del delegado de protección de datos en una entidad? se publicó primero en Adaptación RGPD.

En el art. 34 de nuestra ley orgánica LOPDGDD, se recogen los supuestos en que resulta obligatoria la designación de un DPD. En ese listado están, entre otros, los colegios profesionales y sus consejos generales, centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en su legislación competente, así como las Universidades públicas o privadas (…)

¿Qué pasa sino estoy en ninguno de estos supuestos? En este caso, habrá que tener en cuenta los requisitos contenidos en el RGPD: si nuestro tratamiento requiere una observación habitual y sistemática de interesados a gran escala, si se tratan datos a gran escala de categorías especiales de datos personales o bien el tratamiento lo lleva a cabo una autoridad u organismo público.

Si estamos en alguno de los supuestos anteriores, debemos nombrar un DPD para evitar sanciones. La AEPD ya ha comenzado a sancionar a las entidades. Como, por ejemplo, la reciente sanción de 25.000 € impuesta a la empresa GLOVO.

IMPORTANTE

La designación del DPD debe comunicarse a la AEPD en un plazo de 10 días, a través de su sede electrónica.

La entrada ¿Cuándo se debe nombrar un DPD y cuáles son las consecuencias si no se hace? se publicó primero en Adaptación RGPD.