El Delegado de Protección de Datos

Hace aproximadamente dos años y medio, una nueva ley cambió un poco nuestra vida. Nos referimos al Reglamento General de Protección de datos (RGPD) que entró en vigor el 25 de Mayo de 2018 con el objetivo de proteger la intimidad, privacidad e integridad del individuo, en cumplimiento con el artículo 18.4 de la Constitución Española. Del mismo modo, regula también las obligaciones del individuo en todo proceso de transferencia de datos para garantizar la seguridad del intercambio.

Este reglamento introducía la figura del Delegado de Protección de Datos (DPD) obligatoria para determinados sectores de actividad, con el objetivo de crear un perfil encargado del control, supervisión y coordinación del cumplimiento de la mencionada normativa. Más de dos años después, todavía hay quienes desconocen la existencia de esta figura, cuáles son exactamente sus funciones y si tienen que ser llevadas a cabo por un trabajador de la empresa o si se puede subcontratar el servicio. Desde Edutedis queremos aclarar todas estas dudas, por ello, si está interesado en conocer más sobre la figura del Delegado de Protección de Datos, le animamos a continuar leyendo este post.

 

¿Cuándo y en qué empresas es obligatoria la figura del Delegado de Protección de Datos?

No todas las Pymes tienen la obligación de contar con el DPD. Inicialmente el propio reglamento estableció 3 tipos de supuestos obligatorios:

- Tratamientos realizados por una autoridad u organismo público, excepto los tribunales.

- Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.

- Y cuando las actividades consistan en el tratamiento a gran escala de categorías especiales de datos personales (salud, creencias, origen étnico, orientación sexual, …) o de datos relativos a condenas e infracciones penales.

Pero dejó abierta la puerta para que cada estado miembro regulara la relación de actividades sujetas a la obligatoriedad del DPD, cosa que ocurrió en diciembre de 2018 con la LOPDGDD.

Sin embargo, este concepto sin precisar de “a gran escala” ha provocado un gran debate sin obtener las precisiones deseadas que, en último extremo, las realiza la autoridad de control para cada caso que se le consulta o investiga.

Afortunadamente, la mencionada LOPDGDD, en su art. 34 publicó una extensa relación de entidades y actividades obligadas a designar al DPD que, además de las establecidas en el RGPD, incluye entre otras:

-        Los colegios profesionales y sus consejos generales.

-        Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

-        Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. 

-        Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

-        Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

-        Las empresas de seguridad privada.

-        Las federaciones deportivas cuando traten datos de menores de edad.

(La lista es mucho más extensa. Puede consultarla en el art.34 de la LOPDGDD o pulsando AQUÍ)

La figura del DPD, obligatoria para muchas Pymes, es también muy recomendables para el resto, ya que supone disponer de alguien quien vele permanentemente por el cumplimiento de la normativa de protección de datos y garantice los derechos de los afectados.

 

 

Funciones del Delegado de Protección de Datos

Las funciones del delegado de protección de datos están reguladas por la actual normativa (RGPD UE 679/2016 art. 39, y L.O. 3/2018 art. 36), y en concreto son:

a)      Informar y asesorar al contratante y sus empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de la actual normativa.

b)     Actuar como interlocutor del contratante ante los interesados que lo soliciten sobre cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la normativa.

c)      Colaborar y asistir al contratante en la resolución de solicitudes, reclamaciones, ejercicios o denuncias de los afectados en lo relativo al tratamiento de los datos personales.

d)     Elaborar y supervisar el cumplimiento de la formación del personal que participa en las operaciones de tratamiento.

e)     Supervisar la realización de las auditorías que realice el contratante y asistir al contratante en su comprensión.

f)       Actuar como interlocutor del contratante ante la Agencia Española de Protección de datos y las autoridades autonómicas de protección de datos.

g)      Inspeccionar los procedimientos establecidos por el contratante relativos al cumplimiento de la normativa y emitir recomendaciones en el ámbito de sus competencias.

h)     Documentar y comunicar a la mayor brevedad al contratante la existencia de cualquier vulneración importante en materia de protección de datos.

i)       Realizar en nombre del contratante, las notificaciones que sean requeridas ante la Agencia Española de Protección de Datos.

j)       Supervisar, en caso de precisarse, la realización de la evaluación de impacto sobre tratamientos de datos personales y los análisis de riesgos

 

¿Quién puede ocupar el puesto de DPD?

El dpd es una figura muy importante y con bastante responsabilidad en el ámbito de la seguridad y protección de datos. Según la normativa, el puesto puede ser ocupado por un trabajador de plantilla, o desempeñar sus funciones en el marco de un contrato de servicios, ya sea con personas físicas como jurídicas.

Los datos de contacto del Delegado de Protección de Datos deben ser publicados por la empresa, mediante su inserción en su política de privacidad y en cuantas leyendas informativas y solicitudes de consentimiento se dispongan.

Igualmente, su designación debe estar inscrita en un registro público de la Agencia Española de Protección de Datos cuya consulta es libre para que cualquier ciudadano pueda conocer los datos de contacto del DPD de cualquier empresa. Y por el contrario, conocer que no se dispone de dpd siéndole obligatorio.

La designación de DPD en un trabajador de plantilla comporta, en ocasiones, problemas sobre su grado de independencia para adoptar decisiones como dpd y el propio conflicto de intereses. Además, la empresa, una vez lo designe, no puede removerlo o sancionarlo por causas relacionadas con su labor de DPD. Es por ello que la gran mayoría de las empresas opta por la externalización del servicio.

En cuanto a los requisitos, el propio RGPD manifiesta que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas anteriormente.

La ley LOPD-GDD otorgó a la Agencia española de Protección de Datos la capacidad para habilitar mecanismos voluntarios de certificación para dpd a través de empresas certificadoras, principalmente para profesionales del derecho con orientación hacia la protección de datos personales.

En Edutedis Consultoria ofrecemos a nuestros clientes obligados a disponer de un Delegado de Proteccion de Datos, la posibilidad de contar con este servicio de manera que cumplan con la exigencia legal y estén cubiertos ante posibles cuestiones que en materia de protección de datos surgen a menudo en las empresas.

Si está interesado en este servicio, contáctenos indicando la actividad de la empresa y el número de trabajadores. Le remitiremos un presupuesto anual sin compromiso, muy económico para que cumplir con esta exigencia legal no suponga un alto coste para la empresa. 

Para solicitar información, puede contactarnos llamando al 951569504 o enviando un correo a contratación.dpd@edutedisconsultoria.com

Estaremos encantados de atenderle.