Designación del delegado de protección de datos

Como especial novedad en el Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos existe la obligación del nombramiento o la designación del delegado de protección de datos o también llamado DOP o  DPD, en inglés, “Data Protection Officer”. Esta figura será designada atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados del Derecho y la práctica en materia de Protección de datos. Dicha figura no es obligatoria para todas las organizaciones. El delegado de protección de datos asumirá las competencias de:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones en materia de protección de datos.

b) supervisar el cumplimiento de lo dispuesto en el Reglamento de protección de datos y otras disposiciones, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c)  ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

d) cooperar con la autoridad de control.

 

Disponemos del reconocimiento a la cualificación profesional y las competencias requeridas para el perfil de Delegado de protección de datos a través de la obtención de la Certificación ES2312969, en base al esquema de certificación de la Agencia Española de protección de datos DPD-AEPD. 

¿Cuándo es obligatoria la designación del delegado de protección de datos?

Según estable el Reglamento (UE) 2016/679 Del Parlamento Europeo de protección de datos en su artículo 37:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a)  el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c)  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

La transposición del reglamento, la ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales en su artículo 34 determina que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a)  Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)   Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j)  Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m)  Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o)   Las federaciones deportivas cuando traten datos de menores de edad.

El registro de delegados de protección de datos

La Agencia ha dispuesto un espacio en su Sede electrónica para que cualquier interesado pueda consultar la lista de delegados de protección de datos comunicados a la AEPD

Este espacio de consulta, disponible en la Sede electrónica de la Agencia, permite a cualquier interesado conocer el contacto de los delegados de protección de datos comunicados a la AEPD. De esta forma, los ciudadanos que quieran ejercitar sus derechos o presentar una reclamación ante una entidad pueden introducir el nombre, razón social o NIF de la organización para conocer los datos de contacto del DPD y dirigirle sus solicitudes. 

Puede consultar AQUÍ dicho registro.

La información que se hace pública en dicha lista se corresponde con los datos de contacto que el responsable o encargado del tratamiento ha facilitado en el formulario de comunicación previsto al efecto en la Sede Electrónica de la AEPD.

Preguntas frecuentes FAQS

A continuación, le indicamos cuales son preguntas frecuentes que se publican en  las Directrices sobre los delegados de protección de datos (DPO) del GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29 WP 243 

La designación de un Delegado de protección de datos es una obligación: Si el tratamiento lo lleva a cabo una autoridad u organismo público (con independencia del tipo de datos que se traten); Si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala; Si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales. Téngase en cuenta que el Derecho de la Unión o de los Estados miembros podrá exigir el nombramiento de DPO también en otras situaciones. Finalmente, aunque la designación de un DPO no sea obligatoria, en ocasiones las organizaciones pueden considerar de utilidad nombrar un DPO de forma voluntaria. El Grupo de Trabajo sobre protección de datos del artículo 29 alienta estos esfuerzos voluntarios. Cuando una organización designe un DPO de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los mismos requisitos que si el nombramiento hubiera sido obligatorio.

Las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. Dichas actividades incluyen también todas aquellas en las que el tratamiento de datos sea una parte indisociable de la actividad del responsable o el encargado del tratamiento. Por ejemplo, el tratamiento de datos relativos a la salud, como historiales de pacientes, debe considerarse una de las actividades principales de cualquier hospital y, por ello, los hospitales deben designar un DPO. Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo de TI. Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, normalmente se consideran funciones auxiliares más que la actividad principal.

El RGPD no define qué actividades constituyen un tratamiento a gran escala. El Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala: El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; El volumen de datos o la variedad de elementos de datos distintos que se procesan; La duración o permanencia de la actividad de tratamiento de datos; El alcance geográfico de la actividad de tratamiento. Como ejemplos de tratamiento a gran escala cabe citar: El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte); El tratamiento de datos de geolocalización a tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos, por parte de un responsable del tratamiento especializado en la prestación de estos servicios; El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco; El tratamiento de datos personales para la publicidad comportamental por un motor de búsqueda; El tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de servicios de telefonía o internet; Como casos que no constituyen tratamiento a gran escala cabe señalar: El tratamiento de datos de pacientes por parte de un solo médico; El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

La noción de observación habitual y sistemática de los interesados no está definida en el RGPD, pero claramente incluye todas las formas de observación y elaboración de perfiles en internet, inclusive con fines de publicidad comportamental. No obstante, el concepto de observación no se limita al entorno de internet. Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc. El Grupo de Trabajo del artículo 29 interpreta «habitual» con uno o más de los siguientes significados: Continuado o que se produce a intervalos concretos durante un periodo concreto; Recurrente o repetido en momentos prefijados; Que tiene lugar de forma constante o periódica. El Grupo de Trabajo interpreta «sistemático» con uno o más de los siguientes significados: Que se produce de acuerdo con un sistema; Preestablecido, organizado o metódico; Que tiene lugar como parte de un plan general de recogida de datos; Llevado a cabo como parte de una estrategia. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. El delegado de protección de datos no recibirá ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

El delegado de Protección de Datos es una nueva figura, e que introduce el Reglamento europeo de protección de datos 2016/679 (UE). Esta figura será designada atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados del Derecho y la práctica en materia de Protección de datos. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control en este caso en España es la Agencia Española de protección de datos.

Para garantizar que el delegado de protección de datos sea accesible, el Grupo de Trabajo del artículo 29 recomienda que se encuentre en la Unión Europea, con independencia de si el responsable o el encargado del tratamiento está establecido en ella. No obstante, no puede excluirse que en algunas situaciones en las que el responsable o el encargado del tratamiento no tenga establecimiento en la Unión Europea, un delegado pueda llevar a cabo sus actividades de manera más eficaz si se encuentra situado fuera de la Unión Europea.

Sí. El DPO podrá ser un miembro de la plantilla del responsable o el encargado el tratamiento (DPO interno) o desempeñar sus funciones en el marco de un contrato de servicios. Esto significa que el DPO puede ser externo y, en ese caso, su función puede ejercerse sobre la base de un contrato de servicios suscrito con una persona física o una organización. Cuando la función del DPO la ejerza un proveedor de servicios externo, un grupo de personas que trabaje para dicha entidad podrá desarrollar efectivamente las funciones de DPO como equipo, bajo la responsabilidad de un contacto principal designado como persona «a cargo» del cliente. En ese caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPO cumpla todos los requisitos aplicables del RGPD. En aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, las directrices recomiendan distribuir de manera clara las tareas dentro del equipo del DPO externo y asignar una única persona como contacto principal y persona «a cargo» de cada cliente.

El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. El nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos realizadas y de la protección exigida para los datos personales tratados. Por ejemplo, cuando la actividad de tratamiento de los datos es especialmente compleja o cuando implica una gran cantidad de datos sensibles, el DPO podría necesitar un nivel mayor de conocimientos y apoyo. Las competencias y conocimientos pertinentes incluyen: Conocimientos especializados sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD; Comprensión de las operaciones de tratamiento que se llevan a cabo; Comprensión de las tecnologías de la información y de la seguridad de los datos; Conocimiento del sector empresarial y de la organización; Capacidad para fomentar una cultura de protección de datos dentro de la organización.

El DPO debe contar con los recursos necesarios para poder realizar sus funciones. Dependiendo de la naturaleza de las actividades de tratamiento y de la actividad y el tamaño de la organización, se deberán asignar los siguientes recursos al DPO: Apoyo activo al DPO por parte de la alta dirección; Tiempo suficiente para que el DPO cumpla con sus funciones; Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal según se requiera; Comunicación oficial de la designación del DPO a toda la plantilla; Acceso a otros servicios dentro de la organización de modo que los DPO puedan recibir apoyo esencial, datos e información de dichos servicios; Formación continua.

Existen diversas salvaguardias que permiten al DPO actuar de manera independiente: El DPO no recibirá instrucciones por parte de los responsables o encargados del tratamiento en lo relativo al ejercicio de sus funciones como DPO; No podrá ser sancionado o destituido por el responsable del tratamiento por el desempeño de sus funciones; No habrá conflictos de intereses con otras posibles funciones y obligaciones. Las otras funciones y obligaciones de un DPO no deben llevar a un conflicto de intereses. Esto significa, en primer lugar, que el DPO no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso. Como norma general, los cargos en conflicto dentro de una organización pueden incluir los puestos de alta dirección (tales como director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI) pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento. Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPO que represente al responsable o encargado del tratamiento ante los tribunales en casos relacionados con la protección de datos.

Como parte de esas obligaciones de supervisión de la observancia, los DPO pueden, en particular: Recabar información para determinar las actividades de tratamiento; Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento; Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

No, el DPO no es responsable personalmente del incumplimiento de los requisitos de protección de datos. Es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD. El cumplimiento de las normas en materia de protección de datos es responsabilidad del responsable del tratamiento.

En cuanto a las evaluaciones de impacto relativas a la protección de los datos, el responsable o el encargado del tratamiento debe recabar el asesoramiento del DPO sobre, entre otras, las siguientes cuestiones: Si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos; Qué metodología debe seguirse al llevar a cabo una evaluación de impacto; Si debe realizarse la evaluación de impacto en la propia organización o subcontratarse; Qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados; Si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar) son conformes con los requisitos de la protección de datos. En cuanto a los registros de las actividades de tratamiento, es obligación del responsable o del encargado del tratamiento, y no del DPO, mantener los registros de las operaciones de tratamiento. No obstante, nada impide que el responsable o el encargado del tratamiento asignen al DPO la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro debe considerarse una de las herramientas que permiten al DPO realizar sus funciones de supervisión de la observancia de la normativa y de información y asesoramiento al responsable o al encargado del tratamiento.