Nombrar un Delegado o Delegada de Protección de Datos


Hemos observado la reciente publicación de la Agencia Española de Protección de Datos, acerca de que ya más de 100.000 organizaciones en España, cuentan en la actualidad con un/a Delegado de Protección de Datos (DPD, ó DPO en inglés) nombrado/a efectivamente.


Me alegra muchísimo la gran toma de conciencia que está teniendo lugar entre las entidades que han designado esta figura, por cuanto es inequívoco que tendremos un mayor control y eficacia en la respuesta jurídica que daremos a la protección de los datos personales, pero también es interesante subrayar que aun es una figura desconocida y que se suele confundir con otras que habitualmente existen en las empresas.



¿Quién precisa un/a DPO?


Para desmitificar y humanizar un poco a la persona (o entidad) que actúe como DPO, en contra de lo que muchas organizaciones creen, NO SIEMPRE HAY QUE TENER DPO. Solo es obligatorio nombrar DPO en los casos descritos en el artículo 34 de la Ley Orgánica 3/2018, esto es:


  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles¿de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
    Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.


Además de estos supuestos anteriores, en general es obligatoria para todos los organismos públicos, así como para entidades que lleven a cabo tratamientos de datos que requieran una observación sistemática a gran escala, o tratamientos masivos de categorías especiales.

Por lo tanto, profesionales individuales que tratan este tipo de datos, como por ejemplo, abogados, médicos u otros profesionales sanitarios individuales en sus propias consultas o despachos, no están incluidos en estas categorías.




¿Sus funciones?


Esta fantástica figura tiene el cometido de informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que establece la normativa de protección de datos y supervisar su cumplimiento, ejerciendo sus funciones de manera independiente, asistiendo sobre las políticas organizacionales en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.


Además, podrá ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, cooperar con la autoridad de control y actuar en su caso como punto de contacto. Debe igualmente participar  en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales desde la etapa más temprana posible.


Asimismo, es importante que el/la DPO sea considerado/a como un interlocutor/a dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de esta, por lo que tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto.


El/la DPO exclusivamente asesora y no será personalmente responsable en caso de incumplimiento del RGPD. Es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con la normativa.




¿Cómo nombrar esta figura?


Fuera de estos supuestos anteriormente mencionados como obligatorios, si se desea nombrar (o cesar) un DPO voluntariamente, puede hacerse, pero insisto en aclarar que no siempre es obligatorio.


Cuando se lleva cabo voluntaria u obligatoriamente desde el nombramiento (o cese) hay un plazo de 10 días para presentar la correspondiente declaración ante la Autoridad de Control (Agencia Española de Protección de Datos u organismo autonómico que cuente con dichas funciones).




¿Qué características ha de cumplir?


Las personas profesionales que actúen como DPO han de contar con una sólida formación jurídica y con una amplia experiencia en materia organizativa empresarial con clara orientación de especialización hacia la protección de datos. No tiene que estar certificado, como se ha mal entendido  en algunas ocasiones, pero si lo está, mejor.


El /la DPO podrá ser interno/a a la organización o externo y podrá ser tanto una persona física como jurídica. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el/la DPO no podrá ser removido/a ni sancionado/a por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.


La persona o entidad nombrada como DPO para llevar a cabo sus funciones de asistencia constante y diaria, debe estar constantemente a disposición y ser fácilmente accesible desde cada establecimiento de un modo razonable, por lo que es difícilmente entendible y creíble que una misma identidad pueda actuar a diario y prestar sus servicios de asistencia constante, por ejemplo, en 1000 empresas u organizaciones (el "don de la ubicuidad" aún no se ha constatado que exista, aunque muchos lo intenten practicar).



¿Otras figuras vinculadas a protección de datos en la organización?


Diferenciemos esta figura de DPO, de otras que pueden nombrarse en las organizaciones como por ejemplo:


  •  "Responsable de Privacidad" y "Responsable de Seguridad", que normalmente son de carácter interno, actúan como intermediarios entre todas las personas que integran la organización y suele llevar un control intermedio para asegurar la ejecución material de la seguridad de la información, firma y control de documentos, contratos, compromisos, consentimientos, seguimiento de copias de seguridad, aplicación de protocolos, etc., siguiendo las instrucciones del DPO, consultoras o entidades externas y sometido jerárquicamente en la organización en que trabaja. En esencia, se encarga de garantizar que la información y los datos se vean protegido cos en lo que se refiere a su confidencialidad, su integridad y su disponibilidad.


  •  "Asesorías" o "Consultoras" externas, que juegan un papel fundamental en el desarrollo de todas aquellas cuestiones para dar cumplimiento a la normativa. Prestan (como en mi caso), servicios de implantación de sistemas de adecuación, desarrollo y redacción de documentos y políticas conformes con las normativas vinculadas a la protección de datos mediante contrato y presentación de "factura de consultoría" a precio de mercado. Insisto especialmente en ello, pues se ha de tener especial cuidado al seleccionarlas por cuanto en el mercado aun existen entidades que con finalidad exclusivamente comercial practican el asesoramiento e implantación con sistemas "Coste 0", por cuenta de bonificaciones en "FUDNAE", lo que integra una práctica completamente desleal y fraudulenta.



Espero que tengas un poco más clara la figura del DPO y que si alguna entidad comercial te ofrece nombrarla porque "siempre es obligación", de entrada, dudes del asesoramiento que te están prestando, pero sobre todo para que puedas valorar sus cometidos y si te resulta útil su. nombramiento en caso de que no tengas obligación de practicarlo.


#dpo

#delegadodeprotecciondedatos

#dpd


CURIOSIDADES & NOTICIAS

Nueva Guía sobre generación de datos sintéticos

23 de abril de 2025
La AEPD ha llevado a cabo la traducción de la Guía del a Autoridad de Protección de Datos de Singapur, que sin duda, puede contribuir sobremanera a gestionar adecuadamente el proceso de entrenamiento de sistemas de IA con este tipo de datos, los sintéticos, que priorizan la privacidad y la protección de los datos personales, comportándose como auténticos datos personales, sin el riesgo de la identificación y el tratamiento, en especial en casos no autorizados.

la AEPD implantará sistemas de IA

11 de abril de 2025
La Agencia Española de Protección de Datos (AEPD) tiene previsto implementar sistemas internos avanzados, basados en la inteligencia artificial y el análisis automatizado de datos, para detectar de forma temprana riesgos que puedan afectar a la privacidad y a la protección de los datos personales. En los tiempo actuales, en vertiginosos cambios diarios, la Agencia precisa la agilidad necesaria para enfrentar el imparable avance digital y de las nuevas normativas, así como reforzar los sistemas de monitoreo continuo para anticiparse a las tendencias tecnológicas emergentes, y para ello apuesta por una mayor colaboración con entidades externas relacionadas o vinculadas con la privacidad y seguridad de los sistemas de información, entre los que se cuentan los centros de investigación, universidades y profesionales de la privacidad.

El Gobierno Balear sancionado por la AEPD

8 de abril de 2025
La AEPD ha sancionado al Instituto Balear de la Juventud por recopilar y posteriormente tratar datos de aproximadamente 3000 jóvenes a través de encuestas para definir una radiografía del a situación de la juventud en las Islas Baleares y en las que se les solicitaba datos de orientación sexual, ideología, religión, salud, etc. Según la AEPD los datos recabados, de carácter especialmente delicado, se recogieron de modo obligatorio, sin informar previamente del tratamiento ni del ejercicio de derechos. Tampoco se considera tuviera suficiente legitimación en base a interés público u obligación legal, ni tampoco un consentimiento legalmente prestado.
¿Tienes más interés?