El Delegado de Protección de Datos o DPD (en inglés, Data Protection Officer o DPO), es una de las figuras clave en el RGPD y la LOPDGDD. Es la persona que garantiza el cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
El Delegado de Protección de Datos es la persona encargada de supervisar y monitorizar, de forma confidencial e independiente, si se está cumpliendo con la normativa de protección de datos personales en una empresa.
Funciones del Delegado de Protección de datos
- Informar y asesorar al responsable y encargado del tratamiento de datos personales, así como a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en la normativa reguladora y de las políticas del responsable y de encargado del tratamiento de datos, en materia de protección de datos.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos personales.
- Cooperar con la Agencia Española de Protección de Datos (AEPD) y actuar como punto de contacto con ella.
- Intervenir en caso de que los interesados presenten ante él la reclamación potestativa previa al recurso ante la AEPD.
- Atender las cuestiones de los interesados en lo que respecta al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del Reglamento General de Protección de Datos.
Nombramiento del Delegado de Protección de Datos
La designación de un Delegado de Protección de Datos para empresas debe hacerse atendiendo a lo establecido en el artículo 37.5 del RGPD:
- Sus conocimientos especializados del Derecho.
- La experiencia práctica en materia de protección de datos.
- Su capacidad para desempeñar las funciones antes descritas.
Todas las empresas deben estar adaptadas al RGPD y LOPDGDD. Pero sólo algunas, además, tienen la obligación de nombrar un DPO.
Obligados a tener un Delegado de Protección de Datos
- Los colegios profesionales y sus consejos generales.
- Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito.
- Entidades aseguradoras y reaseguradoras.
- Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, salvo los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Empresas de seguridad privada.
- Federaciones deportivas cuando traten datos de menores de edad.
Así mismo, también deberá haber un DPO en las administraciones públicas y en aquellas empresas obligadas a tener canal de denuncias interno (en la práctica, aquellas empresas con 50 o más empleados).
Aunque para el resto de empresas y organizaciones no es obligatorio designar un Delegado de Protección de Datos, sí que se recomienda contar con este profesional, especialmente en negocios u organizaciones de cierta envergadura y aquellas que usen nuevas tecnologías en su actividad diaria.