Con la entrada en vigor de la Ley Orgánica de Protección de Datos y garantía de derechos digitales una de las figuras que más dudas ha generado es la del delegado de protección de datos cuyas funciones, formación y designación se especifica en la propia normativa que destaca su importante papel como asesor de las empresas en todo lo relativo a los datos personales. En este sentido, el propio Reglamento (UE) 2016/679 y la LOPDGDD especifican que:
- “El delegado de protección de datos puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica”
¿Cuándo será necesaria su designación?
El artículo 37 del RGPD la señala como obligatoria para:
- Autoridades y organismos públicos que traten datos, excepto el caso de los tribunales que deben tratarlos para funciones judiciales;
- Actividades en las que se realicen tratamientos de datos a gran escala y cuando se trate de categorías de datos especiales;
Además, se explica que:
- Un grupo empresarial podrá designar a un DPO siempre que sea accesible para las distintas empresas que lo integren;
- También podrá representar a distintas autoridades u organismos públicos, en función de la estructura organizativa y tamaño de la empresa;
- Su designación se realizará en base a una acreditación de sus conocimientos y especialización en materia de protección de datos;
Como ampliación de estos criterios, en la LOPDGDD se establece que su designación será necesaria en las siguientes organizaciones o empresas:
- Colegios profesionales y consejos generales;
- Centros docentes de enseñanzas reguladas y Universidades, públicas y privadas;
- Prestadores de servicios de comunicaciones electrónicas que tratan datos a gran escala;
- Prestadores de servicios de la sociedad de la información que elaboran perfiles a gran escala de los usuarios que utilizan sus servicios;
- Entidades de ordenación, supervisión y solvencia de entidades de crédito;
- Establecimientos financieros de crédito;
- Distribuidores y comercializadores de energía electrónica y gas natural;
- Responsables de bases de datos para evaluar la solvencia patrimonial y de crédito o para la gestión y prevención del fraude;
- Entidades que desarrollen actividades comerciales y de publicidad;
- Centros sanitarios obligados por ley a gestionar las historias clínicas de los pacientes, excepto los profesionales de la salud que ejerzan su actividad a título individual;
- Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos;
- Empresas de seguridad privada;
- Federaciones deportivas cuando traten datos de menores de edad;
¿Cómo y a quién se debe comunicar?
Los responsables y encargados de tratamiento deberán informar tanto de la designación como cualquier modificación o cese que afecte al nombramiento del DPO a la Agencia Española de Protección de Datos o las autoridades autonómicas competentes en un plazo de 10 días desde que se produzca.
Por su parte, la AEPD y las autoridades competentes publicarán un listado actualizado de todos los delegados de protección de datos nombrados que será accesible por medios electrónicos.
¿Qué requisitos deberá cumplir?
Los responsables y encargados definirán la necesidad de que el delegado de protección de datos ejerza su actividad a tiempo completo o parcial, en función del volumen y tipo de datos que se traten, teniendo especialmente en cuenta los posibles riesgos que se puedan derivar del tratamiento.
El delegado tendrá que acreditar su formación y conocimientos en materia de protección de datos y podrá ser a través de mecanismos voluntarios de certificación entre los que destaca la formación universitaria.
¿Cuáles son sus funciones?
- Actuará como interlocutor del responsable o encargado del tratamiento con la AEPD o las autoridades competentes a nivel autonómico;
- Podrá inspeccionar los procedimientos relacionados con el tratamiento de datos y proponer recomendaciones de mejora;
- Cuando se detecte una vulneración en materia de protección de datos tendrá que documentarla y comunicarla inmediatamente a los órganos de administración y al responsable o encargado del tratamiento de datos;
- Ante reclamaciones en materia de protección de datos: Los afectados podrán acudir al DPO antes de hacerlo directamente a las autoridades;
- El delegado le comunicará la decisión adoptada por parte de la empresa o la entidad en la que trabaja en el plazo máximo de dos meses desde el momento en el que se recibió la reclamación;
- Cuando la reclamación se interponga directamente ante las autoridades, por ejemplo, ante la propia AEPD, las autoridades podrán remitirla al delegado de protección de datos para que dé respuesta en un mes. En el caso de que no se solucione, la reclamación podrá seguir el trámite por parte de las autoridades;
¿Quién determinará la necesidad de hacer una evaluación de impacto?
El DPO asesorará al responsable de tratamiento (la figura a la que le corresponde la obligación de llevarlas a cabo) sobre las situaciones en las que será necesario realizar evaluaciones de impacto principalmente para el tratamiento de:
- Categorías especiales de datos personales cuando se realiza a gran escala o cuando es relativa a datos penales o de condenas;
- Datos automatizados que se utilizan para la elaboración de perfiles;
En cuanto al contenido, la evaluación de impacto incluirá:
- La descripción de los tratamientos de datos previsto en la empresa o entidad;
- La evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad;
- Un análisis de los riesgos del tratamiento y las medidas previstas para enfrentarse a posibles amenazas (medidas de seguridad y mecanismos para garantizas la protección de los datos personales).
Todo este proceso debe acompañarse de un plan de acción que incluya las medidas de control, análisis y propuestas de mejora y aprendizaje.
¿Cuáles son las consecuencias de no designar un DPO cuando la empresa o entidad está obligada de hacerlo?
No designar al DPO cuando es necesario, en base a la normativa, puede ser sancionado con una multa de hasta diez mil euros como máximo o de hasta un 2% del volumen de negocio de la entidad, según el último ejercicio de facturación.
Muy relacionado con las sanciones, es necesario aclarar que, en el caso de que una empresa sea penalizada por una infracción en materia de protección de datos, la responsabilidad será de la empresa y de los responsables o encargados del tratamiento, pero no se acusará directamente al delegado de protección de datos.