Consultores RGPD
Vaya al Contenido

Delegado de Protección de Datos

Servicios
Delegado de Protección de Datos Externo (DPD - DPO)
Normativas aplicables
• Reglamento General de Protección de Datos, Reglamento (UE) 2016/679 (GDPR-RGPD).
• Ley Orgánica (ES) 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
• E-Privacy Regulation (pendiente de aprobación UE)
Plazos
Normativas de aplicación desde 2018.
Todos los plazos están vencidos
¿Qué es un Delegado de Protección de Datos?
Un Delegado de Protección de Datos (DPD o DPO "Data Protection Officer") es una nueva figura requerida por el Reglamento General de Protección de Datos (RGPD).

El DPO es el responsable de supervisar la estrategia de protección de datos de una entidad y de su implementación para garantizar el cumplimiento de los requisitos del RGPD.

El Delegado de Protección de Datos es el encargado de informar y asesorar al Responsable o al Encargado del tratamiento y al personal autorizado para el tratamiento de cualquier entidad, de las obligaciones que les afectan en virtud del RGPD y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados miembros de la UE, como nuestra Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (ES) 3/2018 (LOPDGDD).

El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el art. 39 del RGPD.

El Delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento (interno) o desempeñar sus funciones en el marco de un contrato de servicios (externo).

El Responsable también puede designar un DPO de forma voluntaria aunque no le sea exigible.
Normativa
Consulta toda la información sobre esta normativa de obligado cumplimiento
Infografía
Porque una imagen vale más que mil palabras, te contamos, de forma resumida, tus obligaciones
¿Quién debe nombrar un Delegado de Protección de Datos?
El artículo 37.1 del RGPD dispone que el Responsable o el Encargado del tratamiento deberán designar un Delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al art. 9 y de datos relativos a condenas e infracciones penales a que se refiere el art. 10.

Además de en los supuestos anteriores, la LOPDGDD establece en su art. 34 que deberán nombrarlo, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
Funciones y obligaciones del Delegado de Protección de Datos
El Delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el art. 35 del RGPD;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPO desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

  • En el caso que el Responsable realice una evaluación de impacto (DPIA-EIPD), el DPO tendrá las siguientes funciones:
  • Asesorar acerca de la DPIA formando parte del equipo redactor.
  • Realizar la consulta previa a la Autoridad de control y proceder a su seguimiento.
  • Supervisar la aplicación de la DPIA.
Responsabilidad del tratamiento
Disponer de un DPO no libera al Responsable de sus obligaciones ya que sigue siendo el responsable del tratamiento legítimo de datos personales y por lo tanto debe:
  • Garantizar los derechos de los interesados,
  • Proteger los datos (implantar medidas de seguridad técnicas y organizativas),
  • Llevar registros del tratamiento,
  • Cooperar y consultar con las autoridades de control,
  • Notificar las violaciones de datos,
  • Realizar evaluaciones de impacto,
  • Obtener el consentimiento para la transferencia de datos internacional.
Otros servicios relacionados
Servicio de Ayuda al DPO interno
Servicio de atención y soporte al DPO interno.
Packs por horas para consultoría, formación, asesoramiento y asistencia al DPO de la organización, siempre que cuente con la formación mínima imprescindible para ejercer como DPO.
Formación RGPD
Cursos de formación online (programados o autoaprendizaje), con emisión de certificados de aprovechamiento.
Formación para Usuarios, Responsable del tratamiento, Encargado de Seguridad y Encargado del ejercicio de derechos.
Delegado de Protección de DatosRecomendaciones y otra información
• Designar un DPO externo es una solución práctica y rentable para las organizaciones que no cuentan con los medios o los conocimientos necesarios para cumplir con las obligaciones exigidas por RGPD o la LOPDGDD.
• Contratando los servicios de un DPO externo el Responsable obtendrá asesoramiento y orientación por parte de un experto en la materia que le ayudará a cumplir las exigencias del RGPD y así podrá dicarse a la gestión de su actividad profesional o comercial.
• Además, no existe conflicto de intereses entre el DPO y otras actividades comerciales y es mucho más rentable en comparación con el nombramiento de un DPO interno (un empleado, por ejemplo) por la dedicación que éste debería prestar a la realización de esta tarea.
En general, contar con un DPO aunque no se esté obligado demuestra un compromiso proactivo con la privacidad de los datos y puede aportar beneficios significativos en términos de gestión de riesgos, confianza del cliente y cumplimiento normativo.
Regreso al contenido