El Reglamento General de Protección de Datos (RGPD) incorpora como novedad en su Sección IV en los arts. 37 a 39 la figura del Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO). También se regula en los artículos 34 a 37 de la LOPDGDD.
El RGPD crea la figura del DPD en el marco de cumplimiento basado en el principio de responsabilidad proactiva, si bien no la define.
Podemos encontrar una definición de DPD en el documento relativo a la evaluación de impacto de la Comisión Europea sobre la propuesta de Reglamento que define al DPD como: «Persona responsable en el seno de un responsable del tratamiento o encargado del tratamiento de supervisar y monitorear de modo independiente la aplicación interna y el respeto de las normas de protección de datos».
Designación obligatoria
El artículo 37 apartado 1 del RGPD establece que los responsables y los encargados del tratamiento designarán un DPD en los siguientes casos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. Ejemplos: entidades locales, diputaciones provinciales, comunidades autónomas, etc.
- Cuando las actividades principales del responsable o el encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala en atención a la naturaleza, alcance y fines del tratamiento, por ejemplo: agencias de big data, proveedores de servicios de inteligencia artificial, etc.
- Cuando las actividades principales del responsable o el encargado del tratamiento consistan en operaciones a gran escala de categorías especiales de datos personales (por ejemplo, centros sanitarios, agrupaciones religiosas, sindicales, políticas, etc.). También se incluyen las actividades de tratamiento de datos relativas a condenas e infracciones penales.
El Grupo de Trabajo del Artículo 29 esclarece, en sus Directrices sobre los Delegados de Protección de Datos, que la referida observación habitual y sistemática será continuada, recurrente, constante o periódica de acuerdo con un sistema preestablecido, organizado o metódico.
Para considerar un tratamiento a gran escala se tendrá en cuenta:
- El número de afectados, bien como cifra concreta o porcentaje de la población correspondiente.
- El volumen y la tipología de datos que son objeto de tratamiento.
- La duración, o permanencia, de la actividad de tratamiento de datos.
- El alcance geográfico de la actividad de tratamiento.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) prevé en su artículo 34 apartado 1 una serie de casos en los que la designación de un DPD es obligatoria:
- Colegios profesionales.
- Centros docentes que ofrezcan enseñanzas regladas y universidades.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de sus usuarios.
- Entidades de crédito (bancos, cajas de ahorro, cooperativas de crédito y el Instituto de Crédito Oficial) y establecimientos financieros de crédito.
- Entidades aseguradoras y reaseguradoras.
- Empresas de servicios de inversión.
- Distribuidores y comercializadores de energía eléctrica y gas natural.
- Entidades responsables de ficheros para la evaluación de la solvencia patrimonial.
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Entidades que desarrollen actividades de publicidad y prospección comercial que impliquen análisis de preferencias o elaboración de perfiles.
- Centros sanitarios, a excepción de los profesionales de la salud que ejerzan a título individual.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales referidos a personas físicas.
- Entidades dedicadas al juego on-line.
- Empresas de Seguridad Privada.
- Federaciones deportivas cuando traten datos de menores de edad.
En las organizaciones en las que no sea obligatorio el nombramiento de un DPD puede nombrarse de forma voluntaria en virtud del principio de responsabilidad proactiva.
Perfil del DPD
El DPD puede designarse internamente, esto es, entre el personal del responsable del tratamiento, previa formación, o puede ser un profesional independiente que desempeñe sus funciones en el marco de un contrato de prestación de servicios. Puede ser una única persona o un órgano colegiado formado por un equipo multidisciplinar y su dedicación puede ser a tiempo completo o parcial.
El perfil debe ser el de una persona con capacidad para dirigir el comportamiento de la organización en función de sus costumbres y normas. Una buena combinación de aptitudes es la siguiente:
- Formación y experiencia.
- Iniciativa y proactividad.
- Imparcialidad e independencia.
- Integridad y ética personal.
- Capacidad para la gestión y coordinación de equipos.
- Resolutivo y con dotes para la negociación y la resolución de todo tipo de conflictos, ya sea con clientes, empleados o terceros que se viesen afectados por el tratamiento.
En su designación se atenderá a sus cualidades profesionales y, en particular, a sus conocimientos especializados en el Derecho y la práctica en materia de protección de datos. También, se tendrá en cuenta su capacidad para desarrollar las funciones asignadas.
A fin de acreditar la aptitud del DPD, la AEPD estableció un Esquema de Certificación de Protección de Datos (Esquema AEPD-DPD) bajo el cual la Entidad Nacional de Acreditación (ENAC) puede acreditar a Entidades de Certificación que, a su vez, estarán autorizadas a emitir una certificación sobre aptitud en base a criterios desarrollados por la AEPD y un examen formal. Dicha certificación no es requisito para ejercer como DPD, tan solo acredita la capacidad y aptitud de la persona para ejercer el cargo, si bien se puede acreditar por otros medios.
Existen ciertas limitaciones en su designación. El DPD no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento dada su posición en la organización, como el Director General, Director Financiero, Director del departamento de T.I. y cualquier otro puesto que implique intervenir en la determinación de dichos medios.
La designación y cese del DPD se comunicará, en el plazo máximo de diez días, a la Agencia Española de Protección de Datos (o Autoridad Catalana de Protección de Datos, Autoridad Vasca de Protección de Datos o Consejo de Transparencia y Protección de Datos de Andalucía, en su caso). Además, se harán públicos sus datos de contacto en el sitio web corporativo, avisos legales, instalaciones, etc.
El responsable y el encargado del tratamiento garantizarán la independencia del DPD dentro de la organización. Para ello tendrá una posición definida, que le permita llevar a cabo sus funciones de manera independiente y autónoma. También se le dotará de recursos financieros, infraestructuras y personal, según se requiera.
El DPD deberá cumplir escrupulosamente el Código Ético (aquí un ejemplo) y no podrá ser removido de su cargo, ni sancionado por desempeñar sus funciones, salvo que incurra en dolo o negligencia grave, debiendo rendir cuentas directamente al más alto nivel del responsable del tratamiento.
Funciones
El DPD tendrá, como mínimo, las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud de la normativa de protección de datos.
- Supervisar el cumplimiento de la normativa y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto en los casos de tratamientos del alto riesgo y supervisar su aplicación.
- Supervisar el cumplimiento del protocolo establecido en los casos de brechas o violaciones de la seguridad.
- Cooperar con la autoridad de control y actuar como punto de contacto.
Estas funciones genéricas se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:
- Implantación de la política de protección de datos desde el diseño y de la privacidad por defecto.
- Establecimiento y gestión del registro de actividades de tratamiento.
- Identificación de las bases legales en los distintos tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
- Análisis de riesgo de los tratamientos realizados.
- Asesoramiento al responsable del tratamiento en la realización de evaluaciones de impacto sobre la protección de datos.
- Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Asesoramiento para la selección de encargados del tratamiento con garantías suficientes, incluido el contenido de los contratos de encargo de tratamiento.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que la justifiquen.
- Establecimiento de procedimientos de gestión de violaciones o brechas de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a la autoridad de control y a los afectados.
- Asistencia a los auditores en su labor.
- Mediación en la resolución extrajudicial de conflictos.
- Cualesquiera otras asignadas por el responsable o el encargado del tratamiento, siempre que no den lugar a conflictos de intereses.
Responsabilidades
El DPD no será responsable frente a la autoridad de control en los casos de incumplimiento de la normativa de protección de datos personales. Lo será el responsable o el encargado del tratamiento, que son los obligados a demostrar y garantizar que el tratamiento se realiza conforme a derecho. Ahora bien, si el responsable o el encargado del tratamiento contratan a un experto en la materia para que actúe como DPD de su organización, dicho profesional responderá frente a quien le designó si logra acreditar que este incurrió en negligencia profesional.
No obstante, puede darse el caso de que por dejación de funciones o por mala praxis pueda exigirse al DPD determinadas responsabilidades, incluso penales si vulnera el deber de confidencialidad. Dicha obligación subsistirá aun después de finalizar la relación laboral o de prestación de servicios. De forma que, bajo ningún concepto, utilizará la información a la que haya tenido acceso durante el desempeño de sus tareas en otras empresas, despachos o entidades.
Régimen sancionador
La LOPDGDD prevé una serie de sanciones relativas a la figura del DPD, a saber:
- Se considera infracción grave, con prescripción a los dos años, el incumplimiento de la obligación de designar un DPD [art. 73 v) de la LOPDGDD].
- Se considera infracción grave, con prescripción a los dos años, no posibilitar la participación del DPD en las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones [art. 73 w) de la LOPDGDD].
- Se considera infracción leve, con prescripción de un año, no publicar los datos de contacto del DPD o no comunicarlos a la autoridad competente cuando su nombramiento fuera obligatorio [art. 74 p) de la LOPDGDD].
Valor diferencial
En cualquier organización, un DPD representa un valor añadido y diferencial, si bien su utilidad y eficacia no dependerá exclusivamente de la formación y experiencia adquiridas, también dependerá del grado de conocimiento que tenga de la organización y, principalmente, de la confianza, la independencia y la autoridad que le otorguen.
Más información
Pueden encontrar más información sobre la figura del Delegado de Protección de Datos en los siguientes enlaces:
- Informe 37/2020 de la AEPD
- Informes 96/2022 y 38/2023 de la AEPD
- Guía para los Delegados de Protección de Datos en los sectores públicos y semi-públicos sobre cómo garantizar el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679) elaborado para el proyecto «T4DATA»
- Guía rápida de comunicación del Delegado de Protección de Datos de la AEPD
—
Actualización
La Agencia Española de Protección de Datos ha impuesto las primeras sanciones por carecer de DPD siendo exigible su nombramiento.
La primera multa se impuso a la empresa de seguridad privada CONSEGURIDAD, S.L. y su cuantía fue de 50.000 € por infracción grave del artículo 37 del RGPD con agravante en atención al número de interesados afectados, pues la empresa realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene (artículo 83.2 a) y porque se encuentran afectados identificadores personales básicos (artículo 83.2 g). Les dejo enlazada aquí la resolución de la AEPD.
La segunda multa se impuso a GLOVOAPP23, S.L. y su cuantía fue de 25.000 € por la misma causa con agravante que en el caso anterior. La diferencia estriba en que antes de la resolución del expediente sancionador se nombró un DPD. Les dejo enlazada aquí a la resolución de la AEPD. La resolución fue recurrida y confirmada por la Audiencia Nacional con imposición de costas (SAN 5388/2022).
La tercera multa se impuso a ACONCAGUA JUEGOS, S.A. y su cuantía fue de 10.000 €. La designación del DPD se considera obligatoria, teniendo la actividad de juego online. En la política de privacidad del sitio web, la empresa decía tener un DPD, pero su nombramiento no constaba inscrito en la AEPD. Haciendo clic aquí pueden consultar la resolución de la AEPD.
La cuarta multa se impuso a KFC RESTAURANTS SPAIN, S.L. y su cuantía fue de 20.000 €. Para la AEPD su nombramiento es obligatorio en atención a tres factores: la actividad desarrollada, la observación habitual y sistemática y a gran escala de datos personales. Les dejo aquí la resolución de la AEPD.