¿Qué es un Delegado de Protección de Datos (DPO)?

1.- Definición

El Delegado de Protección de Datos (conocido en España como DPD o también, por sus siglas en inglés, como Data Protection Officer o DPO), es la persona (física o jurídica) que se encarga de supervisar y de garantizar que, en el marco del tratamiento de datos personales por parte de un determinado responsable o encargado del tratamiento, se están cumpliendo sus obligaciones en materia de protección de datos.

Se encarga, además, de la gestión de las consultas de los interesados, así como de las comunicaciones que pueden existir entre el responsable o encargado y la autoridad de control correspondiente (en España, la Agencia Española de Protección de Datos o AEPD).

El DPO es la persona que se encarga de supervisar y garantizar el cumplimiento de la normativa de protección de datos en las actividades de tratamiento de datos personales dentro de una organización.

2.- Regulación de la figura del DPO

La figura del DPO encuentra su regulación tanto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD) como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD).

En el RGPD, se dedica a esta figura su Sección 4, en concreto, los artículos 37, 38 y 39.

En la LOPDGDD, se le dedica el Capítulo III, con los artículos 34, 35, 36 y 37.

3.- La independencia del DPO

La característica más importante del DPO es su independencia. El DPO puede ser empleado de la entidad que trata los datos o puede ser externo. Pero, en todo caso, éste no puede recibir instrucciones o directrices para cumplir con sus funciones. No se puede influir en las decisiones o en las opiniones a las que llega el DPO sobre el cumplimiento de las obligaciones en el tratamiento.

El DPO no rinde cuenta de sus actividades ante aquellos respecto de los que debe evaluar el cumplimiento de la ley.

4.- Obligatoriedad del nombramiento de DPO

El RGPD establece los casos en los que una entidad está obligada a nombrar un DPO:

Cuando se trate de una autoridad u organismo público y trate datos personales, excepto los tribunales de justicia en el ejercicio de sus funciones.
Cuando el tratamiento implique una observación habitual y sistemática de interesados a gran escala.
Cuando se trate de tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Por su parte, la LOPDGDD completa la lista de casos de entidades obligadas, entre las que se encuentran:

Los colegios profesionales, centros docentes y universidades.
Centros sanitarios, salvo en determinados casos.
Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
Las entidades de crédito.
Las entidades aseguradoras y reaseguradoras.
Las empresas de servicios de inversión.
Los distribuidores y comercializadores de energía eléctrica y gas natural.
Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades que impliquen la elaboración de perfiles de las mismas.
Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
Las empresas de seguridad privada.
Las federaciones deportivas cuando traten datos de menores de edad.

Recomendamos la consulta del artículo 34 de la LOPDGDD en el que se puede encontrar esta información de forma más detallada.

En el caso de que una entidad no se encuentre dentro de los anteriores supuestos de obligatoriedad, de igual forma puede optar por el nombramiento voluntario de un DPO, si considera que es recomendable o de utilidad teniendo en cuenta la naturaleza del tratamiento de datos que lleva a cabo.

5.- Funciones del DPO

Podemos englobar las funciones del DPO en tres grandes grupos:

Asesoramiento: se encarga de asesorar al responsable o encargado del tratamiento de cuáles son aquellas obligaciones que tiene que observar para cumplir con la normativa de protección de datos.
Auditoría: se asegura que en el ejercicio de las actividades de tratamiento se está cumpliendo la citada normativa, así como las políticas de protección de datos que se hayan diseñado en el marco de estas. Se encarga, además, de asegurarse de que las personas que intervienen en el tratamiento han recibido una formación adecuada en esta materia.
Cooperación: participan en el proceso de evaluación de impacto prestando su asesoramiento. Además, ejercen de punto de contacto entre el responsable o encargado y la autoridad de control correspondiente.

6.- Certificación como DPO

Teniendo en cuenta que la obligatoriedad de nombrar a un DPO en determinadas entidades está motivada por su necesidad de contar con una figura altamente cualificada en materia de protección de datos, es necesario que dicha cualificación quede demostrada.

Para ello y para otorgar a dichas entidades un mecanismo de confianza, la AEPD ha creado un sistema de certificación de personas Delegadas de Protección de Datos. Este sistema recibe el nombre de Esquema de Certificación de DPD (1).

Actualmente no es obligatorio contar con tal certificación para ejercer como DPO, pero se trata de un recurso muy útil a la hora de aportar un valor de confianza. Es una buena referencia a la hora de elegir a la persona que actuará como DPO de una determinada entidad.

En cualquier caso, el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos (artículo 37.5 del RGPD). Para ello, ya se trate de una persona física o de una persona jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que deberán tener particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el Derecho y la práctica en materia de protección de datos (artículo 35 de la LOPDGDD).

Pero si quieres profundizar más, continua leyendo

7.- Consecuencias de la falta de nombramiento

En muchas ocasiones, hay entidades que están obligadas a nombrar un DPO en atención a la regulación anterior y deciden no hacerlo, confiando en que no se trata realmente de una figura tan necesaria. Muchas veces también, esta decisión acaba resultando muy cara.

A continuación, haremos referencia a algunas sanciones de la AEPD a entidades obligadas a dicho nombramiento y que decidieron no llevarlo a cabo:

Sanción a la empresa Glovo con 25.000 euros por no contar con un DPO. Esta fue la primera sanción que se interpuso en España por esta falta de nombramiento. La AEPD consideró que Glovo llevaba a cabo un tratamiento de datos personales a gran escala de datos tan básicos como la geolocalización de los usuarios.
Sancionada la empresa Conseguridad con 50.000 euros por no haber nombrado DPO siendo entidad obligada. Se entiende obligada porque, al tener instaladas cámaras de videovigilancia en la entrada de sus instalaciones, se consideró que la empresa llevaba a cabo una observación habitual y sistemática de interesados a gran escala.
Recae sanción de 10.000 euros contra la empresa Aconcagua Juegos por no tener DPO nombrado. En concreto, la empresa entra dentro de la obligación de nombramiento por llevar a cabo actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos. También se considero por la AEPD que podía tratarse de un tratamiento a gran escala por la gran cantidad de interesados afectados.

Si deseas contratar un delegado de protección de datos para tu empresa y estar seguro que ella cumple con la exigente normativa europea sobre protección de datos personales, es recomendable contactar con la firma de abogados expertos en protección de datos.

Nota a pie de página:
(1)Texto completo: https://www.aepd.es/sites/default/files/2020-07/esquema-aepd-dpd.pdf

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):

¿Cual es tu nombre?*
¿Cuál es tu correo electrónico?*
¿En qué ciudad te ubicas?*
¿Cuál es tu teléfono? (Con prefijo del país)
Escribe tu mensaje o formula tu consulta*
Política de Privacidad*
He leído y acepto la Política de Privacidad y Cookies de esta web.
Los datos que nos facilita el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es ALGORITMO LEGAL con domicilio profesional en la calle Sicilia nº 210, 5º, 3ª, 08013 de Barcelona. Puedes contactarnos llamando al teléfono (+34) 931 404 381 o a través del correo electrónico info@algoritmolegal.com. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario, así como proveer información comercial. Más detalles en nuestra Política de Privacidad y Cookies.
(*) Campo obligatorio
Introduce los caracteres que ves a continuación: