Cómo designar al Delegado de Protección de Datos: perfil y funciones del DPD

4 mayo, 2020

El Delegado de Protección de Datos (DPD), también conocido como Data Protection Officer (DPO), es el profesional que debe cumplir la función de supervisar el cumplimiento de las normas de protección de datos personales en la empresa u organización, así como atender y gestionar las consultas que le dirijan los afectados sobre sus datos personales. Esta figura esencial para garantizar el derecho está regulada en el Reglamento General de Protección de Datos (RGPD) y debe cumplir con una serie de requisitos de designación, posición y formación. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), concreta para España algunos casos en que es obligatoria su designación.

La labor del Delegado de Protección de Datos es clave porque una de sus principales funciones consiste en informar al responsable o al encargado del tratamiento de los datos personales sobre sus obligaciones legales, así como asegurar el cumplimiento normativo y cooperar con la autoridad de control, como la Agencia Española de Protección de Datos (AEPD) en España. De hecho, el DPD debe ejercer como contacto entre la autoridad y la entidad responsable del tratamiento de los datos.

Numerosas empresas desconocen que, para cumplir correctamente con la normativa vigente de protección de datos, es obligatorio designar un Delegado de Protección de Datos. Pero, ¿cuándo es necesario disponer de un DPD (o DPO por sus siglas en inglés)? Según el RGPD, en estos casos:

Cuando una autoridad pública lleve a cabo el tratamiento de los datos personales. La excepción a este requisito son los tribunales, cuando actúen en su función judicial.
Cuando el responsable o encargado del tratamiento desarrollen actividades u operaciones que requieran de una observación habitual y sistemática de interesados a gran escala. Aunque el RGPD no concreta qué sea “gran escala”, el European Data Protection Board (EDPB) aclara los factores a considerar, como el número de interesados afectados, el volumen o sensibilidad de datos que se van a tratar, la duración de los tratamientos o su extensión geográfica.
Cuando se trate a gran escala categorías especiales de datos. Estas categorías especiales son:
Origen étnico o racial.
Opiniones políticas, convicciones religiosas o filosóficas.
La afiliación sindical.
El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
Condenas e infracciones penales o medidas de seguridad conexas.

La LOPDGDD recoge para España un listado mucho más exhaustivo de empresas, organizaciones y sectores que han de designar DPD.

Cabe destacar que sólo es obligatorio contratar un Delegado de Protección de Datos en ciertos casos. Hay profesionales de reconocida trayectoria profesional que ofrecen estos servicios de forma externa, pero siempre que desempeñen sus funciones con independencia y directamente al más alto nivel jerárquico de la empresa y organización responsable. Esto quiere decir que debería ser una figura distinta e independiente al del abogado “in house” de la empresa.

¿Qué perfil debe tener un DPD?

Por las funciones que ha de ejercer, la Ley exige que el DPD debe contar con una formación específica para poder desarrollar sus funciones con mayor seguridad jurídica para las empresas y organizaciones que deben designar un Delegado de Protección de Datos para cumplir con la legalidad en materia de privacidad.

Para la cualificación del DPD, además de experiencia práctica en materia de protección de datos y capacidad para desarrollar sus funciones, se tendrá particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos (art. 35 LOPDGDD), además de los mecanismos voluntarios de certificación. En ese caso, como señala la Agencia Española de Protección de Datos (AEPD), esta certificación debe ser expedida por la Entidad Nacional de Acreditación (ENAC).

Sanciones por no contar con un DPD

¿Qué ocurre si una entidad está obligada incumple la obligación de designar un Delegado de Protección de Datos cuando sea exigible su nombramiento? ¿Qué sucede si la empresa no posibilita la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no lo respalda o interfiere en el desempeño de sus funciones? Ambas infracciones (art. 73.v y w LOPDGDD) supondrá a la empresa arriesgarse a tener que soportar importantes sanciones, en España consideradas graves.

El RGPD recoge multas de diez millones de euros o, incluso, de cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio anterior para el responsable o encargado del tratamiento del sector privado. Y siempre se optará por la sanción de mayor cuantía. No obstante, en España, la LOPDGDD (art. 76.2.g) prevé que una atenuante de la cuantía de la sanción sea disponer, cuando no fuere obligatorio, de un Delegado de Protección de Datos.

Cumplimiento de la normativa de protección de datos

En el Bufete Mas y Calvet contamos con un equipo de abogados especializado en el desarrollo de la función de Delegado de Protección de Datos (DPD) y asesoramiento integral de cumplimiento normativo en el área de protección de datos: registros de las actividades de tratamiento, evaluación de impacto, contratos de encargado de tratamiento o de cesión de datos, elaboración de políticas de privacidad, , auditorías , defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.