Delegado de Protección de Datos

El Delegado de Protección de Datos o DPO es una figura clave en el cumplimiento del RGPD y de la ley de protección de datos. Explicaremos con detalle el perfil profesional del DPO, los supuestos de designación obligatoria y sus funciones, así como el Esquema para certificación de Delegados de Protección de Datos.

Introducción a la figura del Delegado de Protección de Datos, DPD o DPO

Para comprender en toda profundidard el cambio experimentado en el perfil y en la configuración funcional del DPO después del Reglamento General de Protección de Datos, deslindaremos al DPD de otras figuras similares y nos concentraremos en su «estatuto» propio ubicándo al Delegado de Protección de Datos en los supuestos donde sea preceptivo su nombramiento.

Qué es un delegado de protección de datos

Régimen jurídico del Delegado de Protección de Datos

El Reglamento General de Protección de Datos dedica al DPD la Sección 4 del Capítulo IV (artículos 37 a 39).

Este régimen jurídico aplica a los Delegados de Protección de Datos cuya designación sea preceptiva o voluntaria.

De conformidad con las directrices emitidas por el WP29 (Grupo de Trabajo del Artículo 29 y hoy Comité Europeo de Protección de Datos) sobre la figura del DPO:

“When an organisation designates a DPO on a voluntary basis, the requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.”

Por su parte, la figura del Delegado de Protección de Datos se regula en el Capítulo III de la Ley Orgánica de Protección de Datos de 2018 (LOPDGDD), donde se precisa con algo más de detalle las entidades obligadas a nombrar un DPD.

El Delegado de Protección de Datos antes del RGPD

El RGPD no crea al Delegado de Protección de Datos, pero dota al DPD de auténtica carta de naturaleza y le otorga un estatuto clave en el organigrama de las organizaciones que pretendan una adaptación proactiva a la ley de protección de datos.

El DPD (Delegado de Protección de Datos) ya era nombrado en algunas organizaciones pero era una figura más asimilable al Security Officer o también al actual CDO (Chief Data Officer), en el que encajaban mejor los perfiles técnico-informáticos que los jurídicos.

El Delegado de Protección de Datos tal y como está configurado por el Reglamento General de Protección de Datos, ha de ser una figura nombrada en atención a sus cualidades profesionales, pero en particular, con foco en “sus conocimientos especializados del Derecho y la práctica en materia de protección de datos”, y también en “su capacidad para desempeñar las funciones” relativas a informe, asesoramiento, cooperación y otras citadas en el artículo 39 del RGPD.

Como decimos, si bien la Directiva 95/46/CE no contempla una exigencia generalizada de existencia del Delegado de Protección de Datos en las organizaciones (salvo para algunas instituciones europeas), es cierto que la Directiva ya contenía una previsión sobre la existencia de la figura.

Igualmente hay países del entorno europeo que en los años previos a la entrada en vigor del Reglamento Europeo de Protección de Datos tenían ya una cultura del DPO precisamente por la previsión de la Directiva 95/46 relativa a que la figura del Delegado de Protección de Datos se desarrollase por las normativas estatales.

Ahora, el Reglamento 2016/679 prevé para todos los países del entorno europeo determinados supuestos de designación obligatoria del Delegado de Protección de Datos, con lo que dicha figura viene a ser una pieza indispensable en el esquema de cumplimiento proactivo y también en las relaciones de la organización responsable del tratamiento con la respectiva autoridad de control.

Delegado de Protección de Datos vs Responsable de Seguridad

¿Es lo mismo un Responsable de Seguridad que un Delegado de Protección de Datos?

La figuras del DPD y del Responsable de Seguridad se siguen confundiendo en numerosos entornos.

La normativa española de adaptación de la Directiva 95/46/CE no contempló la figura del Delegado de Protección de Datos.

Tampoco encontramos ninguna referencia textual al Responsable de Seguridad en la LOPD de 1999.

Hemos de esperar hasta el Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007) para encontrar una referencia al Responsable de Seguridad. Concretamente en la definición prevista en el artículo 5.2 letra L):

“Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.”

El artículo 95 del Reglamento de desarrollo de la LOPD contiene una nueva referencia al Responsable de Seguridad que es clave para entender sus funciones:

“En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo…”

La existencia del Responsable de Seguridad parece ligada al documento de seguridad, la pieza documental básica de la auditoría de cumplimiento en materia de protección de datos bajo el régimen de la LOPD de 1999 (y que algunos seguimos considerando una muy buena pieza de accountability o demostración de cumplimiento proactivo del RGPD).

Desde el punto de vista material, pues, el Responsable de Seguridad se separa del Delegado de Protección de Datos en las competencias más restringidas de aquél al ámbito de la seguridad de los tratamientos y al control del cumplimiento dentro de la organización de las medidas de seguridad, técnicas y organizativas, previstas en el documento de seguridad.

Mientras tanto, las funciones del Delegado de Protección de Datos exceden de ese ámbito meramente técnico y tocan con mayor extensión el terreno de lo jurídico y otros aspectos de la protección de datos como la atención de los derechos del interesado o la gestión de reclamaciones, como veremos al examinar las funciones del DPD.

Desde el punto de vista funcional, hay otra clara diferencia entre el Delegado de Protección de Datos y el Responsable de Seguridad, en que la medida en que al primero hay que designarlo o nombrarlo (debiéndose comunicar dicho nombramiento a la Agencia Española de Protección de Datos) mientras que la figura del Responsable de Seguridad es fruto de una asignación de funciones, en la mayoría de los casos al personal de la organización que venía asumiendo competencias relativas a la seguridad en el tratamiento de la información.

Veremos cómo en la figura del Delegado de Protección de Datos los rasgos de separación funcional e independencia están más marcados que en lo que respecta al Responsable de Seguridad.

¿Cuándo hay que nombrar un Delegado de Protección de Datos?

De conformidad con lo dispuesto en el Reglamento General de Protección de Datos, la obligación de designar un Delegado de Protección de Datos incumbe a responsables de tratamiento o a encargados de tratamiento en estos supuestos:

1️⃣Si el tratamiento de datos personales se lleva a cabo por una autoridad u organismo público (exceptuando la labor de jueces y tribunales en el ejercicio de su función judicial).

Nota: Consideramos que esta obligación de designar un DPO debería hacerse extensiva a aquellas empresas y organizaciones de naturaleza privada que presten servicios o realicen encargos para tratar los datos bajo responsabilidad de un organismo o administración pública.

2️⃣Cuando las actividades principales de tratamiento requieran una observación habitual y sistemática de interesados a gran escala.

En este supuesto de nombramiento obligatorio del DPD, como vemos el RGPD encadena dos conceptos jurídicos indeterminados.

El Grupo de Trabajo del Artículo 29 (el actual Comité Europeo de Protección de Datos) ha tratado de arrojar luz sobre el concepto de “observación habitual y sistemática de interesados” con ejemplos concretos, y sobre el concepto de “gran escala” con una serie de criterios que sigue sin convencer a los juristas especializados en protección de datos personales.

Entre los criterios elegidos para acercarse al concepto de “gran escala” el WP29 aludió al número de interesados concernidos por el tratamiento de datos (bien en número concreto o como expresión de porcentaje de la población afectada), el volumen de datos tratados o la extensión del perímetro de tratamiento a múltiples categorías de datos, la duración o permanencia de la actividad de tratamiento, e incluso la extensión geográfica del procesamiento de datos.

3️⃣Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.

Como vemos, en este supuesto de designación preceptiva del DPD, aparece de nuevo el concepto de “gran escala”.

La Razón 91 del RGPD descarta la consideración de “gran escala” de los tratamientos de datos sensibles realizados, por ejemplo, por un solo profesional de la salud o un solo abogado.

Por lo que parece que en el concepto de “gran escala” además de los criterios antes mencionados también es un factor relevante el tamaño de la organización que realiza el procesamiento de datos personales.

¿Qué dice la nueva LOPD sobre la designación obligatoria del DPD?

El artículo 34.1 de Ley Orgánica de Protección de Datos y garantía de derechos digitales de 2018 (LOPDGDD) contempla hasta 16 supuestos de entidades obligadas a nombrar un Delegado de Protección de Datos:

📎 Los colegios profesionales y sus consejos generales.
📎 Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
📎Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
📎 Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
📎Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
📎 Los establecimientos financieros de crédito.
📎 Las entidades aseguradoras y reaseguradoras.
📎 Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
📎Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
📎 Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
📎 Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
📎Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
📎 Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
📎 Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
📎 Las empresas de seguridad privada.
📎 Las federaciones deportivas cuando traten datos de menores de edad.

Infografía Funciones del Delegado de Protección de Datos

Funciones del Delegado de Protección de Datos

El DPD tiene como funciones principales las siguientes:

🔖 Asesosar e informar a responsables y encargados de tratamiento
🔖 Supervisa el cumplimiento de la ley de protección de datos (RGPD, LOPD)
🔖 Coopera y hace funciones de enlace o punto de contacto de la organización o empresa con la Agencia Española de Protección de Datos
🔖 Se encarga y/o coordina la atención a los interesados: dudas sobre el tratamiento, ejercicio de derechos de protección de datos, etc.

✅El artículo 39.2 del Reglamento General de Protección de Datos encomienda al Delegado de Protección de Datos el ejercicio de sus funciones enfocándose principalmente en los riesgos asociados a las operaciones de tratamiento.

Posteriormente, el documento sobre el Esquema AEPD-DPD emitido por la Agencia Española de Protección de Datos considera entre las capacidades esenciales que debe reunir el Delegado de Protección de Datos las siguientes:

🔘 Recabar información para determinar las actividades de tratamiento,

🔘Analizar y comprobar la conformidad de las actividades de tratamiento, e

🔘Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento

🔘 Recabar información para supervisar el registro de las operaciones de tratamiento.

🔘 Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.

🔘 Asesorar sobre:
– si se debe llevar a cabo o no una evaluación de impacto de la protección de datos,
– qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos,
– si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa,
– qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados,
– si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y
– si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el Reglamento.

🔘 Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
🔘 Asesorar al responsable del tratamiento sobre:
– qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos,
– qué áreas deben someterse a auditoría de protección de datos interna o externa,
– qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

ÉTICA DE LOS DELEGADOS DE PROTECCIÓN DE DATOS

El Anexo III del citado Esquema de Certificación AEPD-DPD constituye el llamado Código Ético de los Delegados de Protección de Datos certificados conforme a dicho Esquema. Dicho Código Ético recoge un conjunto de compromisos de integridad, imparcialidad, legalidad, confidencialidad y transparencia para los profesionales ejerzan como DPD.

Requisitos para ser Delegado de Protección de Datos

Hemos visto en las funciones del DPD que esta figura se configura en la práctica como un perfil profesional que actúa como un facilitador del cumplimiento de la ley de protección de datos.

No es el encargado ni el responsable de cumplir.

Informa, asesora, supervisa, coordina a un equipo dedicado a la protección de datos, ha de tener un cierto acceso fluido con la dirección de la organización para comunicar cómo se está llevando a cabo el proceso de adaptación al RGPD.

En definitiva, el perfil del DPD se va nutriendo de diversas habilidades: de asesoría, de informe, de comunicación eficaz en la organización, de conocimiento de la particular industria o de la cultura interna, etc.

En la configuración del Delegado de Protección de Datos se puede optar por que dicha figura sea una persona o equipo de personas.

En este último caso, hay que proceder a designar ante la Agencia Española de Protección de Datos a una persona que represente al DPD colegiado.

El Considerando 97 del RGPD muestra predilección por esa “persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos” a la hora de nombrar a un Delegado de Protección de Datos.

Servicio mantenimiento RGPD y LOPD

El Esquema de Certificación de DPD de la AEPD

La AEPD ha promovido un modelo de acreditación de entidades que certifiquen a los Delegados de Protección de Datos, el Esquema de Certificación DPD de la Agencia Española de Protección de Datos.

Este Esquema de Certificación AEPD-DPD tiene como idea troncal el proceso de evaluación, que estará basado tanto en la valoración del conocimiento y experiencia como en el desarrollo profesional continuo.

Para acceder a la fase de evaluación del Esquema de Certificación de Delegados de Protección de Datos sería necesario cumplir alguno de los siguientes prerrequisitos:

⭐ Justificar una experiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos.
⭐ Justificar una experiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el Programa formativo del Esquema.
⭐ Justificar una experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema.
⭐ Justificar una formación mínima reconocidas de 180 horas en relación con las materias incluidas en el programa del Esquema.

Nota: A efectos de justificación de la experiencia profesional, se valorará toda la experiencia adquirida en protección de datos tanto con anterioridad como con posterioridad a la entrada en vigor del Reglamento General de Protección de Datos ya sea a nivel nacional o a escala europea.

Conclusiones sobre la figura del Delegado de Protección de Datos

Estimamos que es primordial que el DPD  tenga no solo habilidades de comunicación con las diversas áreas de una empresa, así como con las figuras más técnicas del CISO o del CSO, sino sólidos conocimientos jurídicos.

La mayor parte del trabajo del Delegado de Protección de Datos tiene que ver con la ponderación jurídica de derechos e intereses de la propia compañía y los de los interesados, por ejemplo a la hora de supervisar una Evaluación de Impacto en la protección de datos o con la debida atención a dichos derechos de los afectados por el tratamiento.

Por eso somos partidarios de la elección de Delegados de Protección de Datos entre abogados o juristas con dilatada experiencia en tecnología y particularmente en aspectos digitales.

COMPÁRTELO

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email

SERVICIOS MÁS SOLICITADOS

BUSCAR NOTICIA

Utiliza el buscador para encontrar artículos sobre un determinado tema

¿Por qué confiar en mí?

19 años de experiencia como asesor jurídico de empresas y redactor de textos legales en ámbito de internet y de la protección de datos personales, amplia red de contactos jurídicos, equipo multidisciplinar y en formación continua, alto nivel de autoexigencia y esfuerzo…