Delegado de Protección de Datos (DPO)

El Reglamento Europeo incorpora como otra gran novedad, en su Sección 4.ª (artículos 37, 38 y 39) la figura del Delegado de Protección de Datos, o DPO, por sus siglas en inglés (Data Protection Officer).

El DPO, en el nuevo marco reforzado de cumplimiento basado en la responsabilidad, es la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos y su nombramiento debe ser comunicado a la Agencia Española de Protección de Datos.

El Reglamento señala algunos supuestos en los que sí será obligatorio:

  • Cuando el tratamiento lo lleve a cabo una entidad pública, se exceptúan los juzgados y tribunales que actúen en ejercicio de su función judicial.
  • Entidades de naturaleza privada que realicen tratamientos de datos que atendiendo a su naturaleza, alcance y/o fines requieran una observancia habitual y sistemática de interesados a gran escala.
  • Entidades de naturaleza privada que realizan tratamientos de datos a gran escala de categorías especiales de datos o sobre datos relativos a condenas e infracciones penales.

¿Qué es un delegado de protección de datos o DPO?

El Reglamento General de Protección de Datos 679/2016 (RGPD), que entró en vigor el 25 de mayo de 2018, introduce como obligatoria la figura del DELEGADO DE PROTECCIÓN DE DATOS (DPO). Esta figura constituye uno de los elementos claves de las Nuevas Normativas sobre Protección de Datos y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.

Por tanto, el Delegado de Protección de Datos es la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos. Su nombramiento debe ser comunicado a la Agencia Española de Protección de Datos.

¿Quién tiene obligacion de tener un delegado de proteccion de datos?

El RGPD regula de forma detallada las funciones del Delegado de Protección de Datos, estableciendo en su artículo 37.1, los supuestos en que es obligatoria su designación, y que son los siguientes:

  • El tratamiento se lleve a cabo por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Cuando las actividades principales de la entidad consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados gran escala, de acuerdo con el número de interesados afectados, el volumen y la variedad de los datos tratados, la duración o permanencia y la extensión geográfica de las actividades de tratamiento.
  • Las actividades principales de la entidad consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales (datos sobre opiniones políticas, religión, origen étnico o racial, afiliación sindical, vida sexual, salud, genéticos o biométricos). 

Por su parte, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la cual entró en vigor el 6 de diciembre de 2018, señala, en su artículo 34, en forma de numerus clausus, en que supuestos es obligatorio el nombramiento de un DPO:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual, de forma autónoma y sin empleados.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Además, las entidades no incluidas en la relación anterior podrán designar de manera voluntaria un Delegado de Protección de Datos, aplicándose los mismos requisitos como si el nombramiento hubiera sido obligatorio.

¿Qué funciones tiene un delegado de protección de datos?

Protection Report ofrece realizar las funciones como Delegado de Protección de Datos a cualquier entidad pública o privada obligada a la designación del mismo, independientemente a que dicha adecuación a la normativa se haya realizado por ellos mismos, o mediante terceros, para asegurar el correcto cumplimiento del Reglamento respecto a esta obligación. 

Las funciones principales del DPO serían las siguientes:

  • Informar y asesorar a la entidad y a los empleados que se ocupen del tratamiento, de las obligaciones establecidas en el RPGD y demás normativa aplicable en protección de datos.
  • Supervisar el cumplimiento de la Normativa sobre Protección de Datos y de las políticas de la entidad en dicha materia, incluida la asignación de responsabilidades, concienciación y formación del personal que participa en las  operaciones de tratamiento y de las correspondientes auditorías.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos y asesorar y supervisar su correcta aplicación.
  • Cooperar y actuar como punto de contacto con la Autoridad de control para cuestiones relativas al tratamiento y realizar consultas sobre otros asuntos.
  • Asesoramiento para el cumplimiento de los principios relativos al tratamiento, identificación de las bases jurídicas de los tratamientos, valoración de compatibilidades de finalidades distintas, medidas de información a los afectados por los tratamientos de datos, existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos, etc.
  • Gestión y valoración de solicitudes de ejercicio de derechos por parte de los interesados.
  • Establecimiento y gestión de los registros de actividades de tratamiento y análisis de riesgo de los tratamientos realizados.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades de supervisión y a los afectados.

¿Necesita contratar de DPO?

Protection Report ofrece realizar las funciones de Delegado de Protección de Datos a cualquier entidad pública o privada obligada a la designación del mismo, independientemente a que dicha adecuación a la normativa se haya realizado por ellos mismos, o mediante terceros, para asegurar el correcto cumplimiento del Reglamento respecto a esta obligación. 

PROTECTION REPORT

Especialistas en Protección de Datos

Asesorando a empresas y particulares desde el año 2002. Sus datos protegidos con garantía.

+10.000 CLIENTES

Curso de Protección de Datos

¿QUIERE QUE LE LLAMEMOS?

HE LEIDO Y ACEPTO LA POLÍTICA DE PRIVACIDAD / PROTECCIÓN DATOS
DESEO RECIBIR COMUNICACIONES COMERCIALES Y NOTICIAS

Call Now Button