TOP

DELEGADO DE PROTECCION DE DATOS

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) -RGPD- regula la figura del Delegado de Protección de Datos (DPD, DPO en inglés).

 

¿Cuándo es necesario designar un DPD?

La designación de un DPD será obligatoria si el responsable o encargado del tratamiento es:

§ Una autoridad u organismo público.

§ Una organización cuya actividad les lleve a realizar una observación habitual y sistemática de interesados a gran escala o a tratar a gran escala categorías especiales de datos personales o datos relativos a condenas e infracciones penales. 

Las autoridades de control consideran incluidos en estos criterios, entre otros:

§ Entidades aseguradoras y reaseguradoras.

§ Entidades bancarias.

§ Distribuidores y comercializadores de energía eléctrica o gas natural. 

§ Entidades responsables de sistemas de información crediticia. 

§ Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles. 

§ Centros docentes que ofrezcan enseñanzas regladas, como universidades. 

§ Colegios profesionales. 

§ Entidades dedicadas al juego on line. 

§ Proveedores de telefonía o servicios de internet.

§ Centros sanitarios. 

Sin embargo, no requerirían la designación de DPD, por ejemplo:

§ El tratamiento de datos de pacientes por parte de un médico.

§ El tratamiento de datos relativos a condenas y delitos penales por parte de un abogado.

 

No obstante, incluso en los casos en los que la Organización no se encuentre obligada, se recomienda designar un DPD. 

a) Si la Organización está obligada a nombrar un DPD, este podrá ser:

a. Personal propio.

b. Profesional externo de acreditada experiencia.

b) Si la Organización NO está obligada a nombrar un DPD, este también podrá ser interno y externo.  Cuando se designe de forma voluntaria, el DPD deberá cumplir los mismos requisitos que en los casos de designación obligatoria.

 

c) Cuando no se nombre un DPD, se podrá recabar la ayuda profesional externa de consultores especializados en la materia o emplear personal específico. No se deberá confundir esta figura de asesor con el DPD.

 

 

¿Qué requisitos debe cumplir un DPD?

n Debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones definidas para el mismo. 

Será de utilidad el conocimiento que el DPD tenga del sector empresarial y la Organización o, en su caso, de las normas y procedimientos administrativos de la Organización.

A pesar de que el RGPD no establece ningún criterio de titulación para el DPD, las certificaciones supondrán instrumentos de garantía y transparencia para los responsables y encargados.

n Podrá formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios.

§ Será posible que el DPD esté respaldado por un Departamento de Protección de Datos. 

§ Podrá designarse un mismo DPD dentro de un grupo empresarial o para varias autoridades u organismos públicos.

§ Podrán designarse diferentes DPD para ámbitos funcionales o territoriales específicos.

§ En el caso de contratar el servicio de DPD es posible formalizar el contrato con una persona jurídica. 

§ En todos los casos, debería existir una única persona responsable que asuma formalmente la posición de DPD.

 

¿Qué posición ocupa el DPD en la Organización?

n Participará en todas las cuestiones relativas a la protección de datos.

n Deberá ser respaldado en el desempeño de sus funciones, facilitándole los recursos necesarios y el acceso a los datos personales y operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. 

n Se deberá garantizar su autonomía e independencia, y rendirá cuentas directamente al más alto nivel jerárquico. 

n Estará obligado a mantener el secreto o la confidencialidad. Esta obligación no impedirá al DPD solicitar asesoramiento a la autoridad de control (AEPD en España).

n Podrá desempeñar otras funciones y cometidos siempre que no den lugar a conflicto de intereses. 

n Se publicarán sus datos de contacto y se comunicarán a la autoridad de control. 

El DPD deberá ser fácilmente accesible desde todos los establecimientos de la Organización. 

 

¿Qué funciones debe desempeñar el DPD?

n Informar y asesorar al responsable o encargado del tratamiento y a los empleados de las obligaciones en materia de protección de datos.

n Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del responsable o encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes. 

n Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. 

n Cooperar con la autoridad de control.

n Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa para el tratamiento de determinados datos que entrañe un alto riesgo, y realizar consultas, en su caso, sobre cualquier otro asunto. 

 

¿Cómo debe afrontar el DPD la adaptación al Nuevo Reglamento?

n Promoviendo una cultura de protección de datos dentro de la Organización.

n Informando sobre el contenido de las nuevas obligaciones del RGPD.

n Identificando los tratamientos de datos personales dentro de la Organización.

n Diseñando programas de formación y acciones de sensibilización del personal.

n Colaborando a los asesores externos en el diseño e implementación de las nuevas medidas.

 

¿Qué responsabilidad asume el DPD?

El control del cumplimiento que debe realizar el DPD no significa que sea responsable personalmente en caso de algún incumplimiento que será responsabilidad corporativa del Responsable del Tratamiento (la Organización).

 

 

¿Qué servicios ofrece Helas Consultores?

n Externalización de la figura de DPD a través de nuestro equipo de consultores expertos en derecho y protección de datos.

n Asesoramiento al DPD en sus funciones y competencias.

n Formación específica para el DPD interno.

 

 

 

 

 

 

 

Madrid, junio de 2017.

Helas Consultores, S.L.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

HELAS CONSULTORES, S.L.: especialistas en Consultoría y Auditoría centrándose nuestra actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.