Antes de profundizar sobre la figura del Delegado de Protección de Datos (DPD), perfil clave en el modelo de cumplimiento del RGPD, es necesario recordar las diferencias de las otras dos figuras relevantes del reglamento de protección de datos. Se trata del responsable y del encargado del tratamiento:
· Responsable del tratamiento de datos: es quien controla y se responsabiliza de los datos (ejemplo: empresa de ferretería)
· Encargado del tratamiento: se encarga del tratamiento de los datos siguiendo las directrices designadas por el responsable. No tiene poder de decisión sobre ellos (ejemplo: asesoría)
Por lo que atañe al DPD, el artículo 37 del RGPD establece las casuísticas que se deberá designar esta figura en una entidad, como es el caso de organismos públicos, organizaciones que realicen una observación sistemática a gran escala de los interesados (ejemplo: estado físico y salud mediante dispositivos ponibles) o organizaciones que traten datos de categoría especial (ejemplo: salud, biométricos, orientación sexual…) a gran escala.
Según la opinión de Joaquim Lloveras, consultor sénior de Conversia, la misión principal del DPD es la de garantizar la correcta aplicación de la legislación en materia de protección de datos, así como supervisar la adecuada gestión de los tratamientos de datos desarrollados en el seno de la organización en la que desempeña.
¿En qué supuestos es necesario designar un DPD?
El artículo 34 de la LOPDGDD amplía las casuísticas de actividades en las que la designación de un DPD (Delegado de Protección de Datos) es obligatoria. Esta función, que recae sobre los responsables y encargados del tratamiento, afecta a las siguientes entidades:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, a excepción de los profesionales de la salud que ejerzan a título individual
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
¿Cuáles son las características principales del DPD en opinión de Conversia?
- El DPD debe designarse atendiendo a sus cualidades profesionales, teniendo en cuenta sus conocimientos y especialización en la legislación, las prácticas en materia de protección de datos y, en particular, a la ausencia de conflictos de interés.
- El DPD puede formar parte de la plantilla de una empresa o entidad o ser un tercero designado, mediante un contrato de prestación de servicio.
- Los datos de contacto del DPD deben ser comunicados a la Autoridad de Control por parte del Responsable o el Encargado del Tratamiento.
- El DPD deberá participar en todas las cuestiones relativas a la protección de datos.
- El DPD deberá disponer de los recursos necesarios para el desempeño de sus funciones.
- Según el reglamento, el DPD debe actuar con total independencia en el desempeño de sus funciones y no podrá recibir ninguna instrucción relativa a dichas tareas por parte del responsable o encargado del tratamiento.
Conversia, DPD experto
En Conversia ofrecemos un asesoramiento constante al asumir de forma íntegra las funciones y tareas propias de la figura del Delegado de Protección de Datos (DPD), con el objetivo de garantizar la total adecuación y cumplimiento de la actividad de tu empresa o entidad a la normativa.
COMENTARIOS RECIENTES