Skip links
Te presentamos al DPO: qué es y cómo saber si debes nombrarlo

Te presentamos al DPO: qué es y cómo saber si debes nombrarlo

El DPD o DPO, es una figura creada por el RGPD y se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos

Algunos artículos atrás, te hablamos de la recién llegada “ley Whistleblowing” y, con ella, de la obligación para algunas entidades de nombrar un Delegado de Protección de Datos. Pero, hasta ahora, no hemos dedicado ninguno de nuestros posts a hablar precisamente de esta figura; el Delegado de Protección de Datos, también llamado DPO o DPD.

Como se suele decir: mejor tarde que nunca. Así que, aferrándonos a este dicho, hoy te hablamos de esta figura creada por el RGPD, sus funciones y si es obligatorio contar con uno o no.

Primero, lo primero: ¿qué es un Delegado de Protección de Datos?

Como ya te adelantábamos, el delegado de protección de datos, DPD o DPO, es una figura creada por el RGPD, que lo regula entre sus artículos 37 y 39. El DPO es la persona física o jurídica que se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos y, para ello, supervisa todo lo relacionado con ella.

Ojo al dato: puede ser una persona física o jurídica, y puede formar parte, o no, de la organización. Por ejemplo; si tienes una empresa, puedes, a su vez, contratar a otra empresa o persona especializada para que sea el DPO de la tuya (éste, por ejemplo, es uno de los servicios que prestamos en Dataseg).

También es importante saber que, aunque hay muchos cursos, e incluso un examen oficial de certificación de DPO, no se exige que un delegado de protección de datos tenga ninguna formación específica; pero siempre es recomendable que tenga conocimientos jurídicos, dadas las características de su cargo.

¿Cuál es la función de un delegado de protección de datos?

El DPO es el “vigilante” de la protección de datos y de su cumplimiento dentro de una organización. Para ello, tiene asignadas unas funciones claras, que son:

  • Informar y asesorar sobre las obligaciones que, en virtud de la normativa vigente reguladora de la protección de datos, hay que cumplir
  • Supervisar ese cumplimiento. Para esto, el DPO puede asignar responsabilidades a otros sujetos, impartir formación, concienciar a los empleados e incluso realizar auditorías
  • Asesorar acerca de la realización de evaluaciones de impacto relativas a la protección de datos
  • Cooperar con la autoridad de control. En nuestro caso, la AEPD. Así como actuar como punto de contacto con ésta, por ejemplo, cuando hay consultas relativas al tratamiento de datos.

Aunque esas son las funciones que, en concreto, recoge el RGPD, evidentemente se abre un abanico de posibilidades; pues cualquier cuestión que tenga relación con protección de datos en la organización, debería pasar necesariamente por el conocimiento y supervisión previa del DPO.

¿Cuándo es obligatorio designar un DPO?

El RGPD recoge tres supuestos concretos en los que es preciso contar con esta figura:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de datos relativos a condenas e infracciones penales.

Pero, además, la LOPDgdd 3/2018 recoge una lista tasada de otras situaciones que requieren del nombramiento de un DPO. Son muchas, y no las enumeraremos todas, pero esta relación incluye, por ejemplo, a los colegios profesionales o los centros docentes. Puedes consultar el listado completo en el artículo 34 de la norma, que aquí enlazamos.

Y no podemos olvidarnos de la recién llegada Ley Whistleblowing, de la que ya te hemos hablado en artículos anteriores, que está en vigor desde el pasado 13 de marzo.

Esta nueva norma recoge la obligación, para un considerable número de entidades públicas y privadas, de contar con un canal interno de denuncias y de nombrar un delegado de protección de datos. Con carácter general, esta obligación afecta a:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros; prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Si piensas que tu organización puede encajar en alguno de los supuestos contemplados, es importante que revises si necesitas contar con un DPO.

¿Qué pasa si no cumplo con las normas que regulan la figura del DPO?

Tanto el RGPD como la LOPDgdd disponen de un marco sancionador, asociado a infracciones en materia de protección de datos, que se estructuran y clasifican conforme a su gravedad. De entre las diferentes situaciones que pueden darse en el panorama del incumplimiento normativo, hay algunas que se relacionan directamente con la figura del Delegado de Protección de Datos.

Infracciones relacionadas con la figura del DPO

Los artículos 73 y 74 de la LOPDgdd recogen que las siguientes infracciones relacionadas con la figura del DPO, con independencia del periodo de prescripción, podrán sufrir una multa administrativa de entre 0 y 10 millones de euros, o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (conforme el artículo 83.4)

  1. No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la AEPD cuando su nombramiento sea exigible (art. 74.p LOPDgdd). ¡Ojo! Tienes que tener este punto en cuenta: cuando designes un DPO, debes notificarlo a la AEPD para que conste en su registro.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento. (art. 73. LOPDgdd)
  3. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73. LOPDgdd)

Hasta aquí nuestra presentación de esta figura que el RGPD creó hace ya unos años, y con la que todavía parece que, en algunos casos, no estamos del todo familiarizados.

Si te has quedado con dudas o necesitas un asesoramiento personalizado, te invitamos a ponerte en contacto con nosotros o a dejarnos un comentario.

¡Gracias por leernos y hasta la próxima!