La figura del Delegado de Protección de Datos (DPD o DPO en inglés) es una de las novedades del Reglamento Europeo de Protección de Datos, el ya famoso RGPD. A pesar de llevar más de un año en vigor, todavía nos quedan muchas dudas. Entre ellas, esta figura que tratamos de explicar hoy respondiendo a algunas preguntas que nos han trasladado en nuestro día a día
1. ¿Qué es un Delegado de Protección de Datos?
Es un rol que marca el RGPD y que se crea al lado del responsable del tratamiento de datos personales y del encargado del tratamiento, que ya existían dentro del marco de la legislación previa de protección de datos en España. La particularidad de esta figura es que se define como especialista en derecho de protección de datos y se le atribuyen funciones concretas.
- Como especialista en derecho, se ocupará de informar y asesorar a los responsables y encargados del tratamiento de datos, de cuáles son sus obligaciones, para que así cumplan tanto con la legislación europea como con la española
- También se ocupa de supervisar el cumplimiento de la legislación y de la política de protección de datos, ya sea en una Administración Pública, en una empresa o en entidad privada. Hace cosas tan importantes como asignar responsabilidades (quién debe hacer qué o quién es el responsable de que se haga), conciencia al personal, da formación concreta en materia de normativa o hace auditorías para ver cómo va todo.
- Es el experto, y como tal, asesora para hacer evaluaciones de impacto de un tratamiento de datos, sobre todo cuando suponga un riesgo alto para los derechos de las personas propietarias de esos datos.
- Colabora con la Agencia de Protección de Datos, se comunica con ella y se convierte en las manos, ojos y oídos para garantizar que los datos personales están protegidos, ayudándonos a cumplir con los requisitos obligatorios de comunicación.
- Se convierte en un «defensor» de las personas propietarias de los datos personales, ya que cualquier persona titular, afectada o interesada puede consultar al DPD todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones
2. ¿Quiénes tienen que tener un Delegado de Protección de Datos? ¿Es obligatorio?
Pues a veces sí que es obligatorio. De hecho, están obligados a nombrar un Delegado de Protección de Datos:
- Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
- Empresas y otras entidades cuya actividad principal sea el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de las personas titulares de los datos.
- Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales que estén dentro de las categorías especiales que contempla el RGPD (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, o datos relativos a condenas e infracciones penales).
3. ¿Y qué hacemos si no estamos obligados?
Pues evidentemente ya dependerá de la decisión que mejor consideres para tu negocio. Si tu actividad principal como empresa no supone el tratamiento masivo de datos personales que estén dentro de una categoría especial, no te obliga la ley, pero puede ser igualmente recomendable que tengas esta figura. Pero sobre todo, si la tienes, que no sea «de paja», ya que eso no te aportará ningún valor y sólo te supondrá un coste más para tu negocio.
4. ¿Y si no me puedo permitir fichar a un perfil como este?
El Delegado de Protección de Datos puede formar parte de la plantilla, pero también se contempla la posibilidad de que sea un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. De este modo, lo tendrás como un proveedor más, pero sin tener los costes estructurales que te suponen incorporar a un perfil de este tipo a tiempo completo en tu empresa.
En todo caso, la Ley nos indica que debe garantizarse su independencia, por lo que no puede recibir instrucciones contrarias a su trabajo, ni puede ser destituido ni sancionado por desempeñar sus funciones.