El Delegado de Protección de Datos, también denominado con su sigla DPD (en inglés la denominación es Data Protection Official, de ahí que sea habitual ver en diferentes sitios tanto el uso de su sigla en español, DPD, como en inglés, DPO) es una figura que está contemplada en el Reglamento General de Protección de Datos (en adelante, RGPD) en sus artículos 37 y siguientes, y en la Ley Orgánica de Protección de Datos (en adelante, LOPDgdd) en sus artículos 34 y siguientes, y que debe ser designada por el responsable o el encargado del tratamiento cuando se den en determinadas situaciones (sin perjuicio de que puede serlo también sin que ello sea obligatorio, en circunstancias en que contar con un DPD sea muy aconsejable).
La formación de un DPD debe abarcar conocimientos especializados en tres ámbitos: el jurídico, el técnico y el organizativo. Además de lo anterior, los DPD pueden ser certificados mediante un Esquema de Certificación de la Entidad Nacional de Acreditación (ENAC) elaborado de forma acorde con normas internacionales de certificación de personas y cuya propietaria es la Agencia Española de Protección de Datos (en adelante, EAPD): en mi caso estoy certificado de conformidad con dicho esquema con el nº de certificado ISMS 2023 20 0127.
Según el RGPD, el nombramiento de un DPD es necesario cuando:
-
los tratamientos de datos personales sean llevados a cabo por Administraciones Públicas,
-
se lleven a cabo observaciones habituales y sistemáticas de interesados a gran escala y
-
se traten a gran escala datos sobre infracciones penales o datos de categorías especiales (es decir, datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical o datos genéticos, datos biométricos dirigidos a identificar unívocamente a una persona o datos relativos a la salud o a la vida sexual u orientación sexual).
La LOPDgdd, por su parte, va más lejos y, para evitar problemas a la hora de saber si hay que designar o no un DPD (por la falta de claridad que presenta el RGPD), ha determinado dieciséis casos concretos de entidades en los que la designación de un DPD por parte de estas es obligatoria, entre los que destacan:
-
-
Colegios profesionales.
-
Centros docentes.
-
Entidades que presten servicios de comunicaciones y electrónicas y prestadores de servicios de la sociedad de la información.
-
Entidades que lleven a cabo actividades de publicidad y prospección comercial.
-
Centros sanitarios (exceptuando el caso de profesionales de la salud que ejerzan su actividad a título individual).
-
Empresas de seguridad privada.
-
Federaciones deportivas que traten datos de menores de edad.
-
Las funciones de un DPD vienen recogidas en el artículo 39 del RGPD:
-
Asesorar e informar al responsable o encargado de sus obligaciones.
-
Supervisar el cumplimiento de la normativa.
-
Asesorar en la realización de evaluaciones de impacto.
-
Cooperar y ser el punto de contacto con la AEPD o la autoridad de control actuante en el caso concreto.
No es necesario que el DPD forme parte de la plantilla del responsable o del encargado del tratamiento ya que puede prestar sus funciones en diferentes entidades u organizaciones, y este es el servicio que ofrezco aquí a empresas, autónomos y profesionales: mi servicio como DPD externo desarrollado en el marco de un contrato externo de servicios que firmemos entre ambas partes.