¿Qué o quién es un Delegado de Protección de datos?
El Delegado de Protección de Datos (en Inglés Data Protection Officer) es una nueva figura en la legislación que ha aparecido a raíz de la entrada en vigor del Nuevo Reglamento europeo de Protección de Datos. Este nuevo delegado es el encargado del tratamiento de las obligaciones legales en relación a la protección de datos de la entidad o empresa contratada.
Ahora que ya sabes qué es un DPO vamos a analizar esta figura más a fondo, profundizando sobre sus funciones, responsabilidades, o los requisitos para poder ejercer en una empresa.
Regulación de la figura del DPO
Probablemente, uno de los aspectos más importantes de la reforma europea de Protección de Datos, sea la regulación del Data Protection Officer (traducido como Delegado de Protección de Datos), y sobre el que más se ha escrito analizando su estatus y funciones en los últimos tiempos. La nueva LOPDGDD se encarga de desarrollar esta nueva figura.
RGPD
El Delegado de Protección de Datos se regula en los artículos 37, 38 y 39 del Reglamento europeo de Protección de Datos.
LOPDGDD
La figura del DPO se encuentra regulada en los artículos 34, 35, 36 y 37 de la nueva LOPD.
¿Cuándo es obligatorio contratar un Delegado de Protección de Datos?
El RGPD y la LOPDGDD establecen ciertas situaciones en las que las empresas están obligadas a contratar a un DPO.
Lo que dice el RGPD en relación al Delegado de Protección de Datos
El nuevo RGPD determina cuándo hay que designar un Delegado de Protección de Datos obligatorio. ¿Es obligatorio para todas las empresas? La respuesta es NO.
La ley europea exige contar con un DPO en lo siguientes supuestos:
- El tratamiento sea realizado por una autoridad u organismos públicos, a excepción de los tribunales en ejercicio de la potestad jurisdiccional.
- Las actividades principales del responsable o del encargado consistan en tratamientos que requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales y delitos.
- También se incluye el tratamiento de datos de localización o de menores.
Lo que dice la LOPDGDD a propótidos del DPO
Lo cierto es que el reglamento europeo no es muy claro y no concreta si una tienda online, un bufete de abogados o una clínica de fisioterapia, por poner tres ejemplos, necesitan la figura del DPO de Protección de Datos.
Sin embargo, con la aprobación de la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), la legislación española se actualizará y definirá de forma mucho más clara quién necesita contar con un DPD o DPO RGPD en su empresa.
La nueva normativa española establece 16 supuestos concretos en los que es imprescindible contar con un Delegado de Protección de Datos:
- Colegios profesionales y sus consejos generales.
- Centros docentes, incluyendo Universidades públicas y privadas.
- Centros sanitarios. No se incluyen profesionales de la salud que ejerzan a título individual, aunque sí están obligados a guardar el historial clínico de los pacientes.
- Empresas que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten datos personales a gran escala de forma sistemática.
- Prestadores de servicios de la información que elaboren perfiles de usuarios a gran escala.
- Entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito.
- Aseguradoras y reaseguradoras.
- Empresas que ofrecen servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Distribuidores y comercializadores de energía eléctrica y gas natural.
- Entidades responsables de ficheros relacionados con la solvencia patrimonial, prevención del fraude, blanqueo de capitales o financiación del terrorismo.
- Compañías que desarrollen actividades de publicidad y prospección comercial, cuando realicen evaluaciones de perfiles de usuarios y lleven a cabo tratamientos basados en las preferencias de los mismos.
- Entidades que emitan informes comerciales sobre personas físicas.
Operadores de juegos y apuestas que desarrollen su actividad a través de canales electrónicos, informáticos, telemáticos e interactivos. - Empresas de seguridad privada.
- Federaciones deportivas que traten datos personales de menores.
¿Qué pasa con el resto de empresas?
¿Es necesaria la figura de un Delegado de Protección de Datos? Si tu empresa o negocio no entra dentro de las categorías anteriores, no hace falta tener un Delegado de Protección de Datos. Sin embargo, sí es recomendable.
La figura del DPO es muy importante para asegurarse del correcto tratamiento de la información. Orienta a los responsables para garantizar el cumplimiento de la normativa y los asesora a la hora de hacer evaluaciones de impacto de daños.
Además, su presencia ganará muchos enteros de cara a la confianza de los usuarios.
Si tu empresa se encuentra en una de las categorías que hemos nombrado, te recomendamos que no pierdas más tiempo. Solicita presupuesto para contratar un Delegado de Protección de Datos en tu provincia y asegúrate de cumplir la ley.
Directorio de Delegados de Protección de Datos
Funciones del Delegado de Protección de Datos
Entre las funciones atribuidas al Delegado de Protección de Datos están la información y asesoramiento al responsable del fichero sobre el cumplimiento de la normativa de Protección de Datos.
En concreto, las principales funciones del Delegado de Protección de Datos RGPD son las siguientes:
- Informar al responsable y encargado del tratamiento sobre las obligaciones a cumplir en materia de protección de datos.
- Comprobar y velar por el cumplimiento del RGPD y la LOPDGDD, incluidas la concienciación, depuración de responsabilidades o concienciación sobre la protección de datos en la empresa.
- Ofrecer asesoramiento a la hora de realizar las evaluaciones de impacto y supervisión de su cumplimiento interno.
- Cooperar con la Agencia Española de Protección de Datos (AEPD) o la Agencia Autonómica correspondiente.
- Atender consultas realizadas por los interesados a la entidad, tanto relativas al tratamiento de sus datos personales, como en relación al ejercicio de sus derechos.
El Delegado de Protección de Datos no es un sujeto sancionable frente a infracciones en materia de privacidad cometidas por los responsables del tratamiento. No obstante, sí está obligado a mantener el secreto y la confidencialidad de la información a la que acceda en desempeño de sus funciones
Nombramiento del DPO
Los encargados de nombrar al Delegado de Protección de Datos serán los responsables de ficheros o encargados del tratamiento.
Ese nombramiento deberá comunicarse a la Agencia Española de Protección de Datos al ser la autoridad encargada del control del cumplimiento de la legislación sobre Protección de Datos.
También se comunicará a los afectados ya que tienen derecho a acudir ante el Delegado de Protección de Datos si consideran que se han vulnerado sus derechos o para realizar cualquier consulta sobre la materia.
¿Cómo se comunica a la AEPD?
El RGPD exige que exige que el responsable o el encargado del tratamiento:
Publique los datos de contacto del DPO.
Comunique los datos de contacto a las autoridades supervisoras correspondientes.
Las empresas deben comunicar a la AEPD y a los empleados el nombre y los datos de contacto del DPD. Por ejemplo, esos datos podrían publicarse internamente en la intranet de la organización, en el directorio telefónico interno y en el organigrama.
Requisitos para ser DPO
¿Quién puede ser Delegado de Protección de Datos? Los requisitos para trabajar como DPO son, entre otros, poseer conocimientos en materia legal y de Protección de Datos e informáticos.
Situación
El Reglamento General de Protección de Datos establece que el responsable del tratamiento y el DPO estarán implicados en todas las cuestiones relacionadas con la protección de datos. Será considerado como un socio de discusión dentro de la organización. Y formará parte de los grupos de trabajo que se ocupan de las actividades de procesamiento de datos dentro de la organización.
Perfil profesional
Para realizar el trabajo de DPD de Protección de Datos se necesitan, aparte de una formación específica, unas determinadas competencias.
Formación del delegado de datos
La formación del DPO continua es un aspecto fundamental para la mejora en el ámbito profesional. Por tanto, para ejercer como tal es necesario disponer de una cualificación profesional y acreditar la misma.
Esquema de la AEPD
La AEPD ha optado por promover un sistema de certificación de DPO con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPO reunen la cualificación profesional y los conocimientos requeridos.
Entre las entidades que disponen de mecanismos de certificación están:
- APEP
- AENOR
Certificaciones
La certificación de personas es una herramienta para la evaluación objetiva e imparcial de la competencia de un individuo para realizar una determinada actividad. Así que es muy importante que te certifiques como DPO.
Cursos de Delegado de Protección de Datos
Algunos de los estudios oficiales (ciclos formativos o títulos universitarios) que permiten ejercer esta profesión. Hay que tener en cuenta que es posible que se tenga que perfeccionar la formación con otras enseñanzas más específicas del sector.
Tarifas de un DPO
Con las exigencias del RGPD y la LOPDGDD la figura del Delegado de Protección de Datos cobra una gran importancia. Pero, ¿cuánto cuesta contratar un DPD?
Las tarifas para contratar un DPO son muy variadas y dependen de diversos factores, por eso siempre se hace un presupuesto personalizado al tipo de empresa o negocio, pero normalmente tienen una cuantía desde 180€ aproximadamente. En nuestro directorio puedes solicitar presupuesto a empresas de tu provincia y conseguir un profesional con la mejor relación calidad/precio o rellenar el propio formulario de esta página.
Directorio de Delegados de Protección de Datos
Preguntas frecuentes
¿Es posible contratar un DPO externo?
Sí, de hecho será lo más habitual.
El Delegado de Protección de Datos puede formar parte de la plantilla de una Administración Pública, una Empresa o una Entidad privada, o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. En todo caso, se debe garantizar su independencia: no puede recibir instrucciones, ni puede ser destituido ni sancionado por lo que respecta al ejercicio de sus funciones.
¿Es obligatorio para una empresa sin trabajadores?
Depende, necesitarás un DPO si la actividad de la empresa es de las incluidas dentro de las indicadas en el RGPD y en la nueva LOPD como actividades en las que obligatoriamente debe nombrarse un Delegado de Protección de Datos.
En el caso de empresas que no tengan trabajadores o autónomos, lo habitual será no tener que contratar un DPO
¿Cuánto cobra un DPO?
Lo destacable de esta profesión son sus expectativas de futuro ya que se habla de que el sueldo de un Delegado de Protección de Datos en la Unión Europea ronda los 75.000 euros anuales de media.
Los afortunados que reciban la propuesta podrán aumentar considerablemente su salario, pues debido a las implicaciones legales que demanda el trabajo de los DPO y dependiendo del tipo de empresa, su remuneración puede alcanzar cifras bastante consideradas.
¿El DPO puede ser sancionado?
La normativa protege al delegado estableciendo que el Delegado interno no podrá ser removido ni sancionado salvo que incurra en dolo o negligencia grave en el ejercicio de sus funciones.
El despido disciplinario de un DPO vinculado al desempeño de sus funciones podría llegar a ser declarado nulo, por vulnerar derechos fundamentales como la libertad de expresión y la garantía de indemnidad.
¿Es responsable el DPO del incumplimiento de la normativa?
No, el Delegado de Protección de Datos no es personalmente responsable por el incumplimiento de la normativa de Protección de Datos.
El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.
¿Un DPO puede trabajar en diferentes empresas?
Sí, es posible. El RGPD contempla la posibilidad de que el nombramiento de DPO lo lleve a cabo un grupo de organizaciones con la condición de que esté disponible fácilmente para todas las partes interesadas que incluyen individuos a los que pertenecen los datos, autoridades y las propias organizaciones. El DPO debe además poder atender a las partes en su propio idioma.
¿Dónde encontrar un buen DPO?
Ponte en contacto con nosotros y te asignaremos un Delegado de Protección de Datos con formación y experiencia demostrables.
¿Necesitas contratar un DPO?
¡Recibe hasta 4 presupuestos! Te ayudaremos a encontrar un Delegado de Protección de Datos entre cientos de empresas.