El delegado de protección de datos: Sus Funciones

Con la aplicación de la nueva ley de protección de datos tiene lugar la creación de una nueva figura: el Delegado de Protección de Datos, conocido como DPO (en inglés, Data Protection Officer).

El delegado de protección de datos constituye uno de los elementos clave del Reglamento, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control. Entre sus funciones se encuentran:

  1. Informar y asesorar a los responsables y encargados del tratamiento de datos personales y a los empleados, de sus obligaciones.
  2. Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada.
  3. Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  4. Cooperar con las Autoridades de control, que son las Agencias de Protección de Datos.
  5. Actuar como enlace entre las Autoridades de control y los afectados.

8 Cuestiones que suscita esta nueva figura:

¿Quiénes están obligados a tener un delegado de protección de datos?

    • Las Administraciones Públicas, excepto Tribunales. Para el caso de las Administraciones, su designación se rige por el principio del no incremento de gasto, es decir, no podrá suponer incremento de dotaciones, ni de retribuciones, ni de otros gastos de personal.
    • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
    • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales.

¿Quienes no están obligados a tener un delegado de protección de datos?

Aunque no estén obligados, puede ser conveniente. Los responsables o encargados del tratamiento no incluidos en las empresas o instituciones anteriormente mencionadas podrán designar de manera voluntaria un delegado de protección de datos. Nos referimos en particular a las empresas, concretamente PYMEs, cuya actividad principal no consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

¿Es posible compartir un único delegado de protección de datos con otras empresas o entidades públicas?

Si, pero las condiciones dependen de si se trata de empresas privadas o Administraciones.

    • Las Administraciones Públicas podrán nombrar un Delegado de Protección de Datos único para varias autoridades y organismos, teniendo en cuenta su estructura organizativa y tamaño.
    • Los grupos empresariales podrá nombrar un Delegado de Protección de Datos único para todas las empresas del grupo, con la condición de que sea fácilmente accesible desde cada establecimiento.

¿Es obligatorio contratar a un delegado de protección de datos para que forme parte de la plantilla?

No, el delegado de protección de datos podrá formar parte de la plantilla de la empresa o desempeñar sus funciones como un profesional ajeno en el marco de un contrato de servicios. De todas formas, el responsable y el encargado del tratamiento no pueden darle instrucciones, ni destituirle o removerle del cargo, salvo en los supuestos de dolo o negligencia.

¿Se puede sancionar a una empresa que no tenga un delegado de protección de datos?

Si, se puede sancionar siempre que su nombramiento sea exigible. Existen dos infracciones consideradas graves que tienen relación con el delegado de datos. Una de ellas es incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento, y la otra, no posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones. Para informarse de otras infracciones podemos consultar el siguiente post.

¿Es lo mismo un delegado de protección de datos que un responsable o encargado de tratamiento de datos?

No, tienen funciones diferentes. Comentadas ya las funciones del delegado, lo diferenciamos del responsable de protección de datos en que éste es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento, y del encargado en que éste es quien se encarga del tratamiento de datos personales por cuenta del responsable de tratamiento, siendo también persona física o jurídica, autoridad pública, servicio u otro organismo.

Las figuras del responsable y del encargado de protección de datos no son de nueva creación, ya existían con anterioridad a esta reforma en materia de protección de datos, mientras que el delegado de protección de datos surge con el Reglamento.

¿El delegado de protección de datos tiene que ser una persona física o jurídica?

Pueden ser ambas. El delegado de protección de datos puede ser una persona física o jurídica. Será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho, a la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. Con todo, no es obligatorio que un delegado de protección de datos sea jurista.

¿El afectado puede reclamarle al delegado de protección de datos?

Si, es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.

Con lo cual, los titulares, afectados o interesados pueden dirigirse al Delegado de Protección de Datos para todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones.

Además, el delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

 

FUENTES:

  • Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, de 27 de abril de 2016.