La figura del Delegado de Protección de Datos (DPD, o DPO en sus siglas inglesas) se regula en los artículos 37 y siguientes del RGPD.

 

Debe tener en cuenta que no todas las actividades requieren de la implantación de esta figura en su organización, por mucho que algunas consultoras se empeñen en lo contrario.

 

 

 

 

 

 

Deberán tener un DPO de manera obligatoria:

 

1.-Las autoridades u organismos públicos.

 

2.-Los responsables que realicen tratamientos de seguimiento u observación a gran escala. (videovigilancia, Big Data, Smart cities, etc.)

 

3.-Los que realicen tratamientos de categorías especiales a gran escala.

 

Además, la nueva LOPD-GDD establece una serie de entidades que, en base a su actividad, deberán contar con esta figura:

  • Colegios profesionales.
  • Centros docentes regulados por la Ley de Educación.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  • Los prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades de crédito y establecimientos financieros.
  • Entidades aseguradoras.
  • Las empresas de servicios de inversión.
  • Los distribuidores y comercializadores de energía eléctrica.
  • Entidades de evaluación de la solvencia patrimonial y sujetos obligados de la Ley de Blanqueo de Capitales.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial cuando realicen perfilado.
  • Los centros sanitarios obligados al mantenimiento de historias clínicas de pacientes.
  • Las entidades que se dediquen a ofrecer informes comerciales referidas a personas físicas.
  • Los operadores de juego.
  • Las empresas de seguridad privada.

Por lo tanto, todas las actividades no relacionadas en la normativa no están obligadas a designar un DPD, aunque podrán disponer esta figura de manera voluntaria. 

 

Es importante destacar que las funciones asignadas al DPO exceden ampliamente las desempeñadas por el denominado “Responsable de Seguridad”, ya que su cometido comprenderá, como mínimo, las siguientes responsabilidades: 

 

  • Informar y asesorar a la organización sobre las obligaciones derivadas del RGPD y demás normativa aplicable de protección de datos.
  • Supervisar el cumplimiento del RGPD y demás normativa aplicable de protección de datos.
  • Asesorar acerca de las evaluaciones de impacto que se lleven a cabo.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la organización ante la Autoridad de control.

 

Asimismo, el RGPD define las principales características que debe reunir un DPO:

 

  • Debe ser nombrado atendiendo a sus cualificaciones profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
  • Puede formar parte de la plantilla de la organización o actuar como externo.
  • Puede actuar a tiempo completo o parcial.
  • Puede ser único para un grupo empresarial o para varias autoridades u organismos públicos.
  • Sus datos de contacto deben ser públicos tanto para el interesado como para la autoridad de control.

 

Por último, el RGPD salvaguarda la posición del DPD/DPO en el seno de la organización, al rodearlo de las siguientes garantías:

  • Debe gozar de total autonomía en el desempeño de sus funciones y participar en todas las cuestiones relativas a la protección de datos.
  • Debe rendir cuentas con el nivel jerárquico más alto de la organización.
  • Debe disponer de los recursos necesarios para realizar sus funciones.
  • Está vinculado por el deber de secreto.
  • Puede desempeñar otras funciones que no impliquen conflicto de intereses.

  

En el Grupo DPO PRIVACIDAD le ofrecemos el servicio externo de DPD/DPO sobre la base de nuestra cualificación profesional, experiencia y capacidad, además del convencimiento de que la independencia que requiere el desempeño de sus funciones aconseja su prestación de forma externalizada. Si necesita ampliar información sobre su caso concreto estaremos encantados de asesorarle.