Delegado de Protección de Datos

Publicado por:

¿QUIÉN ES EL DPO Y CUÁNDO DEBE NOMBRARSE?

El Delegado de Protección de Datos (DPD o DPO) es una nueva figura introducida por el RGPD (Reglamento (UE) 2016/679 General de Protección de Datos) con el propósito de garantizar el cumplimiento de la normativa de Protección de datos dentro de las organizaciones.

El RGPD establece que su designación es obligatoria para ciertas empresas o entidades, tales como las Administraciones Públicas (excluyendo a juzgados y tribunales); organizaciones que se dediquen a realizar operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; y aquellas que realicen el tratamiento a gran escala de datos sensibles o de infracciones penales o administrativas.

La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) ha ampliado considerablemente los supuestos en los que la designación del DPO tiene carácter obligatorio. De tal modo que su nombramiento debe realizarse, en todo caso, en las siguientes organizaciones:

 

Las empresas o entidades que no se encuentran en el listado no estarán obligadas a designar un DPO, aunque podrán hacerlo con carácter voluntario; lo que se tendrá en cuenta como una medida de responsabilidad proactiva, que puede implicar atenuantes, en caso de imposición de sanciones, de conformidad con el art. 76.1 g) LOPDGDD.

 

¿QUÉ POSICIÓN OCUPA EL DPO EN LA ORGANIZACIÓN?

La normativa vigente permite la designación de DPO interno o externo, siempre y cuando se trate de una persona física o jurídica que acredite tener conocimientos especializados en derecho y en materia de protección de datos.

En caso de optar por la designación de un DPO interno, la persona nombrada formará parte de la plantilla, y podrá designar su actividad a tiempo completo o parcial, en función del volumen de tratamientos, la sensibilidad de los datos tratados o los riesgos que conlleve para los derechos o libertades de los interesados.

Debe tener presente que la empresa debe garantizar, en todo caso, la independencia del DPO dentro de la organización, evitando conflictos de intereses. Asimismo, debe respaldar su labor facilitando los recursos necesarios para su desempeño, el acceso a la información necesaria y a la formación para el mantenimiento de sus conocimientos especializados.

El DPO no puede ser removido ni sancionado por la empresa por el desempeño de sus funciones, salvo que incurriera en dolo o negligencia grave.

La dificultad que supone encontrar un sujeto interno que reúna todos los requisitos que la norma impone, conlleva que la solución más sencilla y efectiva sea la externalización de sus servicios, mediante su contratación

El DPO externo ofrece ciertas ventajas respecto al interno:

  • Garantía de profesionales especializados en derecho y protección de datos, que están en constante actualización.
  • Ausencia de conflictos intereses.
  • Visión objetiva y global respecto del cumplimiento normativo.

Desde Tecnoderecho Asesores trabajamos con ambas figuras, en el primer caso seremos los asesores del DPO interno, y en el segundo caso, seremos nosotros mismos los que ejerzamos las funciones de DPO.

¿QUÉ FUNCIONES TIENE UN DPO?

  • Supervisión del cumplimiento normativo. La función más destacable es la vigilancia del cumplimiento de la normativa de protección de datos. A estos efectos, el DPD además de tener en cuenta la normativa aplicable al caso concreto (RGPD, LOPDGDD, Códigos de Conducta), deberá atender a la naturaleza, el alcance, el contexto y los fines que rodean a los tratamientos que se llevan a cabo en la organización.
  • Formación y asesoramiento. El DPD tiene encomendada la función de emitir recomendaciones e informar, concienciar y formar al personal que participa en las operaciones de tratamiento de datos (Responsables, Encargados o trabajadores), pudiendo asignar responsabilidades y asesorar a estos sujetos acerca de las obligaciones que deben asumir, y que se derivan directamente de la norma aplicable a la organización.

Asesorará en los casos en los que se hayan producido vulneraciones relevantes en materia de protección de datos en la organización, y sobre la necesidad de realizar auditorías o Evaluaciones de Impacto, así como de informar acerca de los resultados que se deriven de las mismas.

  • Cooperación: figura interlocutora. Por último, el DPD se configura como un verdadero interlocutor e intermediario entre la Agencia de Protección de datos y el responsable o encargado del tratamiento, realizando consultas, resolviendo las reclamaciones que le sean planteadas directamente por los afectados o las que éstos remitan a la Agencia de Protección de datos, supervisando el ejercicio de derechos.

¿QUÉ CONSECUENCIAS TIENE SU NOMBRAMIENTO?

Una vez que la organización haya dado el paso de nombrar un DPO interno o externo, se debe comunicar a la AEPD en el plazo máximo de 10 días, y publicar sus datos de contacto.

En caso de incumplir la obligación de designar DPO cuando sea exigible, no respaldar el ejercicio de sus funciones o no posibilitar su adecuada participación en la organización, constituirán infracciones graves, de acuerdo al art.73 v) de la LOPDGDD.

Además, la no publicación de los datos de contacto del DPO o la no comunicación a la AEPD de su designación, darán lugar a infracciones leves, de conformidad con el art.74 p) LOPDGDD.

 

0
  Articulos relacionados

Añadir un comentario