El Delegado de Protección de Datos (DPD), también conocido como Data Protection Officer (DPO), es el profesional que debe supervisar el cumplimiento de las normas de protección de datos personales en la empresa u organización, así como atender y gestionar las consultas que le dirijan los afectados sobre sus datos personales. Esta figura, esencial para garantizar el derecho, está regulada en el Reglamento General de Protección de Datos (RGPD) y debe cumplir con una serie de requisitos de designación, posición y formación.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), concreta para España algunos casos en que es obligatoria su designación.
Tal como explica el abogado Efrén Díaz, responsable del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet y DPO europeo, “las funciones del Delegado de Protección de Datos son la columna vertebral para garantizar la protección de un derecho fundamental europeo como la protección de datos. La información y asesoramiento a las empresas y empleados, la supervisión del cumplimiento de las normas de protección de datos personales o la evaluación de impacto de la privacidad son tareas cualificadas que requieren conocimiento y experiencia, especialmente para asegurar la legalidad y la continuidad y mejora del negocio y de la actividad empresarial con respeto a la privacidad de las personas”.
La labor del Delegado de Protección de Datos es clave porque una de sus principales funciones consiste en informar al responsable o al encargado del tratamiento de los datos personales sobre sus obligaciones legales, así como asegurar el cumplimiento normativo y cooperar con la autoridad de control, como la Agencia Española de Protección de Datos (AEPD) en España. De hecho, el DPD debe ejercer como contacto entre la autoridad y la entidad responsable del tratamiento de los datos.
Designación obligatoria para determinadas empresas
Numerosas empresas desconocen que, para cumplircorrectamente con la normativa vigente de protección de datos, deben designarobligatoriamente un Delegado de Protección de Datos. Pero ¿cuándo es necesariodisponer de un DPD? Según el RGPD, en estos casos:
- Cuando una autoridad pública lleve a cabo el tratamiento de los datos personales. La excepción a este requisito son los tribunales, cuando actúen en su función judicial.
2. Cuando el responsable o encargado del tratamiento desarrollen actividades u operaciones que requieran de una observación habitual y sistemática de interesados a gran escala. Aunque el RGPD no concreta qué significa “gran escala”, el European Data Protection Board (EDPB) aclara los factores a considerar, como el número de interesados afectados, el volumen o sensibilidad de datos que se van a tratar, la duración de los tratamientos o su extensión geográfica.
3. Cuando se trate a gran escala categorías especiales de datos, es decir, datos relativos a:
• Origen étnico o racial.
• Opiniones políticas, convicciones religiosas o filosóficas.
• La afiliación sindical.
• El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
• Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
• Condenas e infracciones penales o medidas de seguridad conexas.
La LOPDGDD recoge para España un listado mucho más exhaustivo de empresas, organizaciones y sectores que han de designar DPD. Cabe destacar que sólo es obligatorio contratar un Delegado de Protección de Datos en ciertos casos. Hay profesionales de reconocida trayectoria profesional que ofrecen estos servicios de forma externa, pero siempre que desempeñen sus funciones con independencia y en coordinación con el más alto nivel jerárquico de la empresa. Esto quiere decir que debería ser una figura distinta e independiente al del abogado “in house” de la empresa.
El perfil del Delegado de Protección de Datos: debe teneruna formación específica para desarrollar sus funciones
Por las funciones que ha de ejercer, la Ley exige que el DPDcuente con una formación específica para desarrollar sus funciones con mayorseguridad jurídica para las empresas y organizaciones que deben designar unDelegado de Protección de Datos.
El abogado Efrén Díaz explica que “la designación de unDelegado de Protección de Datos empresarial ha de basarse en la elección de unperfil con una sólida y acreditable formación jurídica y en una ampliaexperiencia práctica en sede administrativa y judicial sobre asuntos deprivacidad, tecnológicos, corporativos y organizativos”.
Para la cualificación del DPD, además de experienciapráctica en materia de protección de datos y capacidad para desarrollar susfunciones, se tendrá particularmente en cuenta la obtención de una titulaciónuniversitaria que acredite conocimientos especializados en el derecho y lapráctica en materia de protección de datos (art. 35 LOPDGDD), además de losmecanismos voluntarios de certificación. En ese caso, como señala la AgenciaEspañola de Protección de Datos (AEPD), esta certificación debe ser expedidapor la Entidad Nacional de Acreditación (ENAC).
El Bufete Mas y Calvet es un despacho de abogados especializado en asesoramiento jurídico y legal a empresas, fundaciones y particulares en áreas como Economía Social y Entidades sin Ánimo de Lucro; Tecnología y Telecomunicaciones; Derecho Espacial; Derecho Penal y Compliance; Derecho Procesal y Arbitraje; Derecho Mercantil; Derecho Bancario y Mercado de Valores; Derecho Fiscal: Derecho Civil; Derecho Administrativo; y Derecho Laboral.