El delegado de protección de datos o DPO (Data Chief Officer) es la nueva figura legal que introduce el reglamento de la Unión Europea en materia de protección de datos (RGPD) y que se traspuso en nuestra Ley Orgánica 3/2018, de protección de datos personales y garantías de los derechos digitales (LOPD-GDD).

Con la digitalización de la mayoría de los procedimientos tanto de entidades públicas como privadas, el tratamiento de datos de personas físicas entraña riesgos que exigen extremar su regulación y protección. La protección de los datos personales se consagra como un derecho fundamental en el art 18.4 de nuestra Constitución española, en términos de que la ley ha de garantizar la protección del honor, la intimidad y el pleno ejercicio de los derechos en el ámbito informático.

Esta figura autónoma nace con la finalidad de informar y asesorar en materia de protección de datos a las entidades que intervienen como responsables y encargados de tratamiento y ofrecer a su vez un refuerzo más dentro del sistema de garantías de protección de datos personales del RPGPD.

Obligación legal de designar

El artículo 37 RGPD establece el marco regulatorio de la UE para designar a un delegado de protección de datos, el cual sólo en determinados supuestos es de exigencia legal. Si bien la LOPDGDD traspone y concreta en su artículo 34 aquellas entidades que han de designar un DPO.

Podríamos delimitar así la obligatoriedad en sectores concretos y según la finalidad del tratamiento.

  • Sector de la actividad: Se designará un DPO en colegios profesionales, centros educativos, entidades de crédito, aseguradoras y reaseguradoras, servicios de inversión, distribuidores y comercializadores de energía eléctrica y gas natural, publicidad y prospección comercial, centros sanitarios que deban guardar los historiales clínicos de los pacientes, actividades de juego, seguridad privada y federaciones deportivas (cuando traten con datos de menores)
  • Finalidad del tratamiento: Cuando la entidad trate habitual y sistemáticamente datos a gran escala, elabore a gran escala perfiles de usuarios o emitan informes comerciales destinados a personas físicas.

Ventajas

No obstante, el marco normativo europeo y el nacional abren las puertas a la designación voluntaria de un DPO por parte del responsable y encargado del tratamiento.

¿Qué ventajas ofrece?

  1. La toma de responsabilidad proactiva que cada vez se solidifica más en las normativas relativas a la protección de datos.
  2. El/La DPO que deberá tener conocimientos en Derecho y en materia de protección de datos será la figura dentro de la entidad encargada exclusivamente de asegurar una adecuada gestión del tratamiento realizado ante terceros y autoridades de control.
  3. Asesorará a los responsables y encargados de tratamiento ofreciendo garantías de protección dentro de los procedimientos de tratamiento.
  4. Será el intermediario ante la autoridad de control, en España, mantendrá relación con la Agencia Española de Protección de datos, encargada de supeditar la libre circulación del tratamiento de datos y la protección de datos de las personas físicas.
  5. El DPO podrá formar parte en las evaluaciones de impacto exigidas legalmente especializándose en materia de protección de datos y evitará costes de tiempo.

Externalizar el Delegado de protección de Datos

La normativa europea y nacional no establecen reglas entorno a si el DPO puede ser parte de la entidad o bien si puede ser una persona física o jurídica externa a la entidad. No obstante, sí determina para los DPO internos una serie de medidas para garantizar su independencia como la prohibición de que las funciones del DPO dentro de la organización puedan suponer un conflicto de intereses o que únicamente ante supuestos de dolo o negligencia grave puedan ser sancionados o destituidos.

Desde LVS2, como especialistas en materia de tratamiento de datos para empresas y entidades públicas, sugerimos realizar un análisis del tratamiento que realiza la entidad en su actividad de mercado, con el fin de determinar el volumen de tratamientos realizados y las necesidades adheridas de la actividad.

El DPO externo podrá suponer en determinados casos un alivio dentro del organigrama de una entidad evitando los costes de integrar un nuevo departamento especializado en protección de datos. No obstante, es de libre elección la externalización o no de un DPO, de forma que cada entidad deberá atender a los criterios determinados por su actividad para establecer la conveniencia de ello.