El Delegado de Protección de Datos
En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se incluye la figura del Delegado de Protección de datos o, en inglés, DPO. Este reglamento entró en vigor el pasado 25 de mayo de 2018. Y que se contempla en la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una figura que se incluye en la Directiva 95/46, especialista en la legislación en protección de datos, que se una al lado de las figuras del responsable y del encargado del tratamiento de los datos.
Funciones del Delegado de Protección de Datos:
Entre las tareas que se atribuyen al Delegado de Protección de Datos están:
- Informar, asesorar y supervisar al responsable del tratamiento de datos de las obligaciones y normas que debe efectuar para cumplir con el Reglamento General de Protección de Datos. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control (Agencia de Protección de Datos) y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
El DPD no es personalmente responsable por el incumplimiento del RGPD. El RGPD deja claro que es el responsable del tratamiento o del encargado quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. El cumplimiento de la protección de datos es responsabilidad del responsable o del encargado.
La existencia de un Delegado de Protección de Datos será obligatoria en los siguientes casos:
La Ley Orgánica 3/2018, de 5 de diciembre, requiere la designación de un DPD en tres supuestos específicos:
Artículo 34. Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
Para el resto de empresas la figura del DPO no es obligatoria, pero es muy recomendable, en cualquier caso, con el fin de asegurarse un debido cumplimiento normativo y evitar así reclamaciones o sanciones.