¿Qué es un delegado de protección de datos?

El Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés) es la persona designada por una organización para velar por el cumplimiento de la normativa legal de protección de datos y del sistema de gestión que se implante en dicha organización. De acuerdo con la normativa vigente, no tiene que tener una titulación específica ni ha de estar certificado para ejercer las funciones, pero sí debe ser una persona con los conocimientos específicos y generales necesarios para desarrollarlas convenientemente.

¿Están las empresas obligadas a designar un delegado de protección de datos?

Las empresas no están obligadas a designar un DPD, salvo en los casos descritos por el RGDP y la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales. Las empresas específicamente obligadas a designar un DPD tienen además la obligación de dar información sobre la persona designada ante la AEPD.

La Ley asigna al Responsable del Tratamiento y/o al Encargado del Tratamiento la responsabilidad de designar al DPD. Puede ser un empleado de la propia plantilla o un externo independiente. El RGPD establece la posibilidad de que una misma persona desarrolle las funciones y responsabilidades del DPD para varios Responsables o Encargados de Tratamiento, es decir, para varias organizaciones, siempre y cuando se establezcan mecanismos que faciliten su comunicación y disponibilidad en todos los casos.

En el organigrama de la empresa, el DPD debe tener una dependencia directa del máximo órgano de administración de la compañía, de forma tal que quede garantizada su independencia de cualquier órgano ejecutivo o de gestión de la organización. No debe recibir ninguna instrucción relativa a cómo debe desempeñar sus tareas y sus responsabilidades; la organización no podrá sancionar o remover al DPD que desarrolle sus funciones de acuerdo con los requisitos y obligaciones que establece la legislación vigente. Solo así queda asegurado un desarrollo eficaz de la función del DPD como garante de la protección de datos personales que son recogidos y tratados por una organización, y como garante de la derivación para la organización y sus administradores de posibles delitos penales.

Funciones de un delegado de protección de datos

El DPD que cumple con las tareas y obligaciones que señala la legislación vigente, no es responsable de los incumplimientos que la organización realice en materia de protección de datos. En estos casos, la responsabilidad del incumplimiento recae en el Responsable del Tratamiento, único responsable de establecer las medidas de protección de datos definidas por el DPD y de dotar a la organización de los recursos y medios de todo tipo necesarios para ello.

Una de las funciones principales del DPD definidas por la legislación vigente es la de realizar la identificación de los riesgos asociados a las operaciones de tratamiento de datos personales, y evaluar la probabilidad de que acontezca el riesgo, y el impacto o daño que podría causar a la organización y sus administradores si se materializase alguno de los riesgos identificados. Además es el encargado de definir acciones y planes dirigidos a eliminar un riesgo o minorar el impacto o daño que podría causar si llegara a producirse. Esta función es una de las principales novedades introducidas por el Reglamento General de Protección de Datos (RGPD).