Togas.biz

La legislación española ha establecido algunos perfiles de organizaciones que deben dotarse de este cargo apuntado en el RGPD

El Delegado de Protección de Datos (DPD) es una figura introducida por el Reglamento General de Protección de Datos (RGPD) de 4 de mayo de 2016. Sus funciones, definidas en el artículo 39 de la mencionada ordenación, se centran en tres ámbitos: la auditoría, la asesoría y la mediación. Tal y como recoge el citado corpus legal, estas acciones las puede desempeñar un empleado de la plantilla o alguien externo como un abogado.

Entrando más en detalle sobre las funciones recogidas en el artículo 37, el DPD se encarga de supervisar que la empresa cumple con el RGPD en el desempeño de su actividad habitual. También es su responsabilidad asegurarse que el personal de la compañía está formado de manera adecuada con lo que contempla la ley, ya no solo estatal sino también las directivas europeas al respecto.

En cuanto a las labores de asesoría del DPD se refieren a que debe evaluar e informar del impacto que las actividades de la empresa pueden tener sobre el tratamiento y protección de datos que pueden ser sensible. Aunque la obligación de implementar lo apuntado por el delegado es del responsable principal de esas actividades en la empresa.

Por último, este delegado también se encarga de las relaciones con las autoridades públicas. Por ejemplo, debe dar respuesta ante cualquier requerimiento de información que estas hagan. También debe iniciar los trámites para gestionar cualquier problemática que pudiera surgir por posibles vulneraciones en el articulado del RGPD.

El RGPD no detalla qué empresas o entidades deben tenerlo, aunque si introduce los criterios generales que convierten su designación en obligatoria. Así, deberán nombrar un DPD:

-Las autoridades y organismos públicos, excepto tribunales en ejercicio de su función judicial;

- las organizaciones cuya actividad principal requiera actividades de tratamiento de los datos consistentes en la observación habitual y sistemática de interesados a gran escala.

- Y aquellas cuyas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos, como los de salud, biométricos, raciales y datos sobre condenas e infracciones penales.

Para arrojar luz sobre estos criterios generales, la Ley Orgánica de Protección de Datos (LOPD) aporta una relación de organizaciones que deben contar con un DPD:

  • Los colegios profesionales y sus consejos generales
  • Los centros docentes y las Universidades públicas y privadas
  • Las compañías de telecomunicaciones y otras empresas prestadoras de servicios vinculados a la sociedad de la información
  • Las compañías de seguros y entidades bancarias
  • Organizaciones que gestionen registros de morosos
  • Empresas del sector energético (luz, agua, gas…)
  • Agencias de publicidad
  • Operadores de juego online
  • Centros sanitarios de cualquier perfil
  • Federaciones deportivas
  • Empresas de seguridad privada
  • Entidades que trabajen con ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010).

La LOPD también recoge otros aspectos sobre el desempeño de funciones del DPD. Así, cuando una empresa lleva a cabo la designación formal debe comunicarlo en un plazo de 10 días a la Agencia Española de Protección de Datos. Además, debe tratarse de un profesional familiarizado con las cuestiones vinculadas al derecho y a la protección de datos. Para acreditar estos conocimientos, tanto el RGPD como la LOPD establecen mecanismos voluntarios para certificarlos ante las autoridades pertinentes.

Además, la LOPD también recoge varias sanciones relacionadas con la figura del DPD y es que, no sólo es importante proceder a la designación de la figura sino que una correcta configuración de su posición dentro de la organización también puede ser sancionada. En concreto, la sanción será una multa de hasta el 2% del volumen de negocio anual de la empresa o entidad.

Aunque la figura del DPD sólo es exigible en los supuestos comentados, cabe su designación de forma voluntaria, práctica altamente recomendada por las autoridades de control por considerar que facilita y mejora sensiblemente el cumplimiento de las organizaciones y contribuye a una mayor seguridad jurídica.