Delegado de protección de datos
5 preguntas clave para conocer la figura del delegado de protección de datos
1. ¿Qué es un delegado de protección de datos?
El delegado de protección de datos constituye uno de los elementos claves del Reglamento General de Protección de Datos (RGPD) y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado.
El delegado de protección de datos (DPD), debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados del Derecho y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.
Actúa de forma independiente y entre las funciones que se le atribuyen están las de informar y asesorar al responsable o encargado del tratamiento, además de supervisar el correcto cumplimiento de la normativa en materia de protección de datos que cumplen con el RGPD. No obstante, conviene precisar que el DPD puede ser personal interno o externo, persona física o persona jurídica.
2. ¿Qué funciones tiene un delegado de protección de datos?
Las funciones del delegado de protección de datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:
I) Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
II) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y su normativa de desarrollo.
III) Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
IV) Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
3. ¿Cuál es la responsabilidad de un delegado de protección de datos?
Los delegados de protección de datos no son personalmente responsables en caso de incumplimiento de la normativa en materia de protección de datos.
El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad y acorde con la precitada normativa.
El cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
La función del DPD de supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia.
El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar «medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento».
En definitiva, el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.
4. ¿Qué entidades están obligadas a designar un delegado de protección de datos?
El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:
I) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
II) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
III) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala, en su artículo 34, que los responsables y encargados del tratamiento deberán designar, en todo caso, un delegado de protección de datos cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
Los responsables o encargados del tratamiento no incluidos en la relación anterior podrán designar de manera voluntaria un delegado de protección de datos.
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
5. ¿Qué diferencia hay entre un responsable del tratamiento, un encargado del tratamiento y un delegado de protección de datos?
El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento, esto es, es quien ostenta el tratamiento legítimo de datos de carácter personal y decide sobre ellos.
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento, es decir, por encargo de éste. La diferencia más significativa con el responsable es que, el encargado del tratamiento únicamente trata los datos que le comunica el responsable conforme a una finalidad específica.
En conclusión, una entidad es responsable del tratamiento cuando controla y se responsabiliza de los datos que posee. Sin embargo, si una entidad almacena datos, pero otra decide sobre ellos, entonces es encargado del tratamiento.
Por último, el delegado de protección de datos, es el encargado de asesorar, recomendar y guiar al responsable y el encargado del tratamiento en el desempeño de sus obligaciones con tal de garantizar el cumplimiento de la normativa de protección de datos en la organización. La diferencia más significativa en relación con el responsable y el encargado del tratamiento es que se trata de una figura debe actuar con total independencia en el desempeño de sus funciones y no podrá recibir ninguna instrucción relativa a dichas tareas por parte del responsable o del encargado del tratamiento.