¿QUÉ ES UN DELEGADO DE PROTECCIÓN DE DATOS (DPD)?
El DPD o DPO1 es una figura que puede existir en las empresas, responsable y garante en el seno de la organización del cumplimiento de la normativa de la protección de datos. Deberá contar con conocimientos especializados en Derecho y, indudablemente en protección de datos, actuará de forma independiente y confidencial, ejerciendo funciones de supervisión y monitorización.
Se le atribuyen las funciones reguladas en el artículo 39 del Reglamento general de protección de datos (en adelante, RGPD), entre las que podemos destacar las siguientes:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones en materia de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento y en la normativa aplicable sobre esta materia.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento y realizar consultas sobre cualquier otro asunto.
¿CUÁNDO DEBE CONTAR UNA EMPRESA CON UN DPD?
El propio RGPD configura al Delegado y establece en su artículo 37 cuándo debe proceder a su designación:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Por su parte, el artículo 34 de la Ley Orgánica de Protección de Datos personales y garantía de derechos digitales (en adelante, LOPDPGDD) detalla los responsables y encargados que, en todo caso, han de proceder a la designación de DPD de forma obligatoria:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de crédito como bancos, cajas de ahorros, cooperativas de crédito o el Instituto de Crédito Oficial.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Cualquier otra entidad no incluida en el listado anterior, podrán designar de forma voluntaria un DPD, que estará sometido al mismo régimen legal y tendrá las mismas funciones que cualquier otro de obligado nombramiento.
Sobre los operadores de telecomunicaciones, que nos afecta especialmente, señalar que el RGPD no define qué se entiende por tratamiento a gran escala. De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto. Las únicas manifestaciones que se han hecho en el ámbito europeo son:
«se incluirían en particular las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo».
«el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado».
A través de los servicios de la AEAT, y en respuesta a una consulta planteada al respecto, se nos traslada que, en cualquier caso, el CEPD recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
- el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
- el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
- la duración, o permanencia, de la actividad de tratamiento de datos;
- el alcance geográfico de la actividad de tratamiento.
Como ejemplos de tratamiento a gran escala cita: el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
DPD INTERNO O EXTERNO
El Delegado de Protección de Datos puede ser interno o externo, pero en ambos casos tendrá las mismas funciones, y deberá cumplir con lo establecido en la normativa aplicable. Cada modalidad presenta unas ventajas, que pueden resumirse como indicamos a continuación:
INTERNO
Conocimiento de la estructura de la empresa
Proximidad
Más facilidad en la comunicación
Mejor planificación
EXTERNO
DPD especializado
Solución a la falta de personal interno
No habrá conflicto de intereses
Más experiencia y conocimiento de la práctica
La opción más demandada y recomendada es delegar estas funciones en una empresa externa, ya sea en una persona física o jurídica, pero deberá regularse este régimen mediante un contrato de servicios.
OTRAS FIGURAS QUE PODEMOS ENCONTRAR EN MATERIA DE PROTECCIÓN DE DATOS
El RGPD hace alusión a distintas figuras que pueden existir en el seno de la organización de una empresa y que ejercen funciones relacionadas con la Protección de Datos. Estas son:
- El Responsable del Tratamiento: es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal (actúa en nombre propio y no por cuenta de otro).
- Encargado de Tratamiento: es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del “Responsable del Tratamiento” (actúa por cuenta del responsable).
- Delegado de Protección de Datos. Es un profesional con conocimientos especializados de la normativa y práctica en materia de protección de datos. Sus funciones consisten en ayudar al responsable o al Encargado de Tratamiento. Actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
Desde AIT te asesoramos en materia de Protección de Datos, y redactamos los contratos y las cláusulas a incluir en cualquier documento para que tu empresa esté al día en este sector. Si aún necesitas más información, no dudes en contactar con nosotros.
Seguiremos publicando información interesante y novedades del sector de las telecomunicaciones. Además, os animamos a interactuar con nosotros también a través de nuestros perfiles sociales tanto en LinkedIn, en Twitter, como en Facebook, dónde publicamos todos los días.
¡No os lo perdáis!
2Se ha hecho una interpretación sobre esta información en el documento “Directrices sobre delegados de protección de datos” del Comité Europeo de Protección de Datos (CEPD).