Vanesa Alarcón Caparrós, Socia área TMT & IP. AGM Abogados
El Delegado de Protección de Datos (DPD), también conocido como Data Protection Officer (DPO), es una figura clave en la mayoría de las empresas. Su función principal es garantizar el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD) y otras normativas aplicables, minimizando riesgos y asegurando la protección de la información de empleados, clientes y proveedores.
Si bien en muchos casos su designación no es obligatoria, contar con un DPD es una decisión estratégica que puede aportar tranquilidad y seguridad jurídica a la organización. En este artículo, exploramos su papel, funciones y los casos en los que su presencia es imprescindible.
¿Qué es un Delegado de Protección de Datos?
El Delegado de Protección de Datos es el profesional encargado de supervisar la correcta aplicación de la normativa de protección de datos en una organización. Su figura fue introducida por el Reglamento Europeo de Protección de Datos (RGPD) y su nombramiento debe comunicarse a la Agencia Española de Protección de Datos (AEPD) o la autoridad competente en cada país de la UE.
¿Cuándo es obligatorio tener un Delegado de Protección de Datos?
El Reglamento Europeo de Protección de Datos establece en su artículo 37 los casos en los que una organización está obligada a designar un Delegado de Protección de Datos. Este requisito se aplica cuando se dé alguno o varios de los siguientes escenarios:
- Cuando el tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando los tribunales que actúen como consecuencia del ejercicio de su función judicial.
- Cuando las actividades principales del responsable o encargado sean operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Si bien los términos mencionados pueden ser algo ambiguos, en la práctica, se requiere un Delegado de Protección de Datos en empresas medianas o grandes, especialmente aquellas que manejan grandes volúmenes de datos de clientes, empleados o bases de datos. Asimismo, es imprescindible cuando la información tratada por la empresa incluye datos sensibles, como datos de salud, creencias políticas, ideología, orientación sexual o biometría (huellas dactilares, reconocimiento facial, etc.).
También es obligatorio cuando se trate de una entidad o empresa clasificada dentro de lo dispuesto en el artículo 34.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos. Algunos ejemplos de ello son:
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información, que se dediquen a la elaboración de perfiles a gran escala.
- Entidades aseguradoras y reaseguradoras.
- Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, con tratamientos basados en las preferencias de los afectados o que realicen actividades con elaboración de perfiles.
- Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (con excepciones, en función de la dimensión o si se ejerce a título individual).
- Operadores que desarrollen la actividad de juego online o de forma interactiva, conforme a la regulación del juego.
- Empresas de seguridad privada.
- Federaciones deportivas cuando traten datos de menores de edad.
Como decíamos antes, cabe tener en cuenta que, si bien en algunos casos no es obligatorio, la empresa puede determinar la conveniencia de designar esta figura. Esto suele darse en muchas empresas multinacionales o medianas con ciertas dimensiones que trabajan con multitud de datos de trabajadores o clientes, las que deban firmar contratos que incluyan cláusulas de protección de datos de forma recurrente o que tengan determinado volumen de atención a los clientes, entre otros. También, cuando la empresa realice tratamientos automatizados como punto fuerte del negocio (por ejemplo, empresas que desarrollen e implementen software, que utilicen tecnologías disruptivas como la IA, el Big Data…).
¿Cuáles son las funciones del Delegado de Protección de Datos?
El Delegado de Protección de Datos cumple un papel clave en la empresa. Entre sus principales funciones destacan:
- Asegurar el cumplimiento del RGPD, con el análisis y revisión periódica del nivel de cumplimiento y las medidas adoptadas por la empresa en relación con los tratamientos de datos llevados a cabo.
- Informar y asesorar, tanto al responsable como a los encargados del tratamiento y a los propios empleados sobre las obligaciones que les incumben.
- Supervisar y asesorar sobre el cumplimiento normativo, incluyendo la asignación de responsabilidades, la concienciación y formación del personal.
- Cooperar con la autoridad de control, actuando como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento de los datos personales en el seno de la entidad.
- Recomendar la realización de evaluaciones de impacto para la privacidad, estudios de impacto previos al inicio de un proyecto o tratamiento, soporte en la realización de análisis de legitimación previos a un tratamiento de datos.
- Soporte en las reclamaciones y ejercicios de derechos.
Por experiencia podemos decir, que el Delegado de Protección de Datos se convierte en un aliado transversal que da soporte a muchos de los departamentos de la empresa, asesorando sobre qué buenas prácticas y medidas se deben implementar para garantizar el cumplimiento de la normativa. Así, por ejemplo, se trata de una figura clave para los departamentos de recursos humanos, comunicación, administración, informática o sistemas de la compañía.
¿Quién puede ser Delegado de Protección de Datos?
El Reglamento Europeo de Protección de Datos no establece una titulación específica para el Delegado de Protección de Datos, pero sí requiere que tenga conocimientos especializados en derecho y protección de datos. Esta figura puede ser:
- Un empleado de la empresa.
- Un profesional externo contratado para el servicio.
En ambos casos, el DPD debe actuar con independencia y no recibir instrucciones sobre el desempeño de sus funciones.