El delegado de protección de datos es el encargado de garantizar que una empresa o entidad cumpla con las obligaciones legales en materia de protección de datos. La figura del delegado de protección de datos ‘nació’ en 2016 junto al RGPD. También denominado DPO o DPD, es obligatorio que las empresas identifiquen a un DPD tan solo en una serie de supuestos. Sin embargo, es una de las figuras más importantes del RGPD.
¿Qué tiene que hacer un delegado de protección de datos?
Las funciones de un delegado de protección de datos son varias dentro de una empresa. En primer lugar, es el enlace entre la empresa –u organización- y la Agencia Española de Protección de Datos. Por ello, debe estar registrado en el listado de delegado de protección de datos disponible online.
Además, el DPD tiene la obligación de informar y asesorar a los responsables y trabajadores de sus obligaciones, así como supervisar el cumplimiento del Reglamento General de Protección de Datos.
Otra de las funciones del delegado de protección de datos es ofrecer el asesoramiento sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
¿Puede ser el DPD un empleado de la empresa?
El delegado de protección de datos puede ser externo o pertenecer a la empresa u organización, siempre que esté en condiciones de cumplir las funciones mencionadas anteriormente. Sin embargo, el encargado del tratamiento debe garantizar que el DPD no va a recibir ninguna orden en lo relativo a su desempeño, ni tampoco será despedido ni destituido por estos motivos.
Un DPD puede desempeñar otras funciones además de las propias, pero siempre y cuando no generen conflicto de intereses. Además, tendrá que mantener el secreto y la confidencialidad durante el desempeño de sus funciones.
¿Cuándo es necesario un delegado de protección de datos?
A pesar de ser una figura importante, el delegado de protección de datos no es obligatorio para todas las empresas. A continuación, enumeramos los supuestos en los que es necesario contar con un DPD.
-Si el tratamiento lo realiza una autoridad u organismo público –excepto los tribunales de justicia-, es obligatorio designar un DPD.
-Cuando es necesario monotorizar periódica y sistemáticamente a los titulares de datos a gran escala debido a la actividad del responsable.
-Si se incluye el tratamiento de datos de menores o de localización.
–Cuando actividad principal consiste en el tratamiento de categorías especiales de datos a gran escala o de datos relativos a condenas penales y delito.
Además, la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) incluye categorías más específicas de organizaciones que necesitan un delegado de protección de datos designado. Entre ellas, se encuentran los centros docentes y sanitarios, las compañías aseguradoras y reaseguradoras, los distribuidores y comercializadores de enertía eléctrica y gas natural o empresas de seguridad privada.
