El Delegado de Protección de Datos (Data Protection Officer) en el RGDP

El Reglamento 2016/679 General de Protección de Datos (RGDP), que será aplicable desde el próximo 25 de mayo, introduce varias novedades en materia de protección de datos y entre ellas, la más destacada es la obligación que se impone a los responsables y encargados, según el tratamiento de datos llevados a cabo, de nombrar un Delegado de Protección de Datos (DPD o en sus siglas en inglés DPO: “Data Protection Officer”).

¿En qué casos es obligatorio nombrar un Delegado de Protección de Datos?

El RGPD establece la obligatoriedad de nombrar un DPD (art. 37.1) cuando el tratamiento lo lleven a cabo autoridades y organismos públicos (con independencia de qué datos traten y con la excepción de los tribunales en el ejercicio de sus funciones), en organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala o en organizaciones que traten categorías especiales de datos personales a gran escala.

Para dar mayor claridad, el texto del Anteproyecto de Ley Orgánica de Protección de Datos (ALOPD) incluye un listado de las entidades que, en todo caso, deberán designar un DPD (art. 34.1):

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 6/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el art. 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradores y reaseguradoras.
• Las empresas de servicios de inversión.
• Los distribuidores y comercializadores de energía eléctrica.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y créditos o de los ficheros comunes para la evaluación del fraude.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
• Quienes desempeñen las actividades reguladas en la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Al igual que el RGPD, el texto del ALOPD, advierte que los responsables o encargados del tratamiento que no tengan obligación de nombrar un DPD, podrán hacerlo voluntariamente si así lo estiman conveniente. En cualquier caso, sea obligatorio o voluntario, hay que justificar su nombramiento o no, y debe ser comunicado a la Agencia Española de Protección de Datos en un plazo de 10 días.

El incumplimiento de esta obligación, y de cualquier precepto relacionado con el DPD constituye una infracción sancionada con multas de hasta el 2% del volumen de negocio anual.

En cuanto a la designación del Delegado de Protección de Datos, se deberá hacer atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos, incluidos conocimientos sólidos en las normativas sectoriales que afecten a la organización en la que desempeñe sus tareas. En esta línea, tanto el RGPD como el Anteproyecto, establecen que, para acreditar sus conocimientos, se podrá demostrar a través de mecanismos voluntarios de certificación.

Es el principal exponente de la organización en lo que respecta a la privacidad y protección de datos, de cara a los interesados y a las autoridades competentes con las que deberá cooperar. En otras palabras, es el encargado de gestionar todo lo relativo a datos, siendo el intermediario entre todas las partes involucradas.

¿Cuáles son sus funciones?

La función de Delegado de Protección de Datos puede ser adoptada tanto por un trabajador interno como por un tercero (despacho de abogados, por ejemplo) bajo la figura de la prestación de servicios. No obstante, es importante destacar que el DPD no será personalmente responsable en caso de incumplimiento del RGPD. Es el responsable o el encargado del tratamiento quién está obligado a garantizar y ser capaz de demostrar que el tratamiento que realiza es conforme con la normativa, siendo su responsabilidad su cumplimiento. Es por ello que conviene que el DPD tenga un seguro de responsabilidad civil.

En el caso de grupos empresariales, se prevé que la figura del DPD sea asumida por una única persona, siempre que el mismo sea accesible desde cualquier establecimiento del grupo. Esta accesibilidad se corresponde con la facilidad para que los interesados se pongan en contacto con el DPD, al igual que para una cooperación fluida con la autoridad de control pertinente. Igualmente, deberá ser accesible para los empleados de la organización, y dar así un cumplimiento más efectivo a su labor de asesoramiento. Y con el fin de garantizar que el DPD, ya sea interno o externo, sea accesible, es importante que sus datos de contacto estén disponible, tanto para los empleados como para los interesados, además de aparecer publicados en la Agencia Española de Protección de Datos.

Como se ha adelantado, el DPD es una figura que adquiere una gran relevancia en el seno de una organización, siendo el que marque el estándar ético en el cumplimiento de toda la normativa relacionada con protección de datos de dicha organización. En todo caso, entre sus funciones, destacan las siguientes:

• Informar y asesorar. Realizará asesoramiento al responsable y al encargado, y a sus empleados, en la toma de decisiones sobre tratamiento de datos con el objetivo de cumplir con el RGPD, así como en las obligaciones que les incumben.
• Supervisar el cumplimiento normativo. Su misión principal será velar por el cumplimiento del RGPD así como de toda la normativa sobre protección de datos, de los derechos de las personas, obligaciones de los responsables, incluido la formación al personal de la organización.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto. La obligación de realización dicha evaluación es del responsable, si bien podrá pedir consejo al DPD.
• Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control.

En el desempeño de sus funciones, el Delegado de Protección de Datos actuará con total independencia y autonomía, debiendo el responsable y encargado garantizar que el DPD no reciba instrucciones en lo relativo al desempeño de sus funciones, y que no sea removido o sancionado por aquellos por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36 ALOPD). Por ello, el DPD tendrá libertad para decidir cómo reaccionar ante un asunto de su competencia, las comunicaciones a la AGPD o las investigaciones internas, lo que conlleva a que el DPD deba rendir cuentas directamente al más alto nivel jerárquico.

En conclusión, estamos ante una nueva figura que nace a raíz del Reglamento General de Protección de Datos, y se encuadra dentro del principio de “accountability” o de responsabilidad proactiva del responsable del tratamiento en el ámbito de protección de datos, que otorgará un mayor control y eficacia en el cumplimiento de la nueva normativa.

Marina Balduz Bernal

Abogada de MA Abogados