Conoce Atico34 - Solicita presupuesto
DPOLOPDGDD & RGPD

Delegado de Protección de Datos (DPO) 2024: Definición y Funciones

El Delegado de Protección de Datos es una de las figuras más importantes que introducen el RGPD y la LOPDGDD en relación a la protección y tratamiento de datos de carácter personal. Pero, ¿quién es este profesional? ¿Cuáles son sus funciones? ¿Es necesaria la figura de un Delegado de Protección de Datos en las organizaciones? En este artículo respondemos a estas y otras cuestiones.

¿Qué es un Delegado de Protección de Datos?

El Delegado de Protección de Datos fue una de las principales novedades que introdujo el Reglamento General de Protección de Datos (RGPD), pero ¿qué es el DPO?

El significado de DPO es data protection officer, que en español se ha traducido como Delegado de Protección de Datos (motivo por el que solemos referirnos a él por las siglas DPO o DPD).

Llamado en algunas ocasiones delegado de privacidad, el DPO es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos.

También, por tanto, deberá velar o supervisar el cumplimiento normativo, así como cooperar con la autoridad de control y actuar como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

En otras palabras, el Delegado de Protección de Datos es el profesional que se encarga del cumplimiento de la normativa de protección de datos en las empresas y organizaciones que deban designarlo como obligación, así como en aquellas que lo hagan voluntariamente.

No olvides que el Delegado de Protección de Datos es obligatorio para TODAS las empresas con más de 49 trabajadores. Si necesitas un DPO, en Grupo Atico34 podemos ayudarte.

Contrata un Delegado de Protección de Datos

Por lo tanto, para el buen desarrollo de las funciones del DPO (de las cuales hablaremos más adelante), se le deberá dotar de los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad.

Se debe destacar también que los datos de contacto del DPO deben ser públicos, para que interesados y supervisores puedan contactar con él de manera directa y confidencial.

El Delegado de Protección de Datos (DPD/DPO es la persona encargada de supervisar y monitorizar, de forma confidencial e independiente, si se está cumpliendo con la normativa de protección de datos personales en el seno de una organización.

El Delegado de Protección de Datos en el Reglamento RGPD

La figura del Delegado de Protección de Datos en el RGPD está recogida y explicada en los artículos 37, 38 y 39.

En concreto, el artículo 37 hace referencia al nombramiento del Delegado de Protección de Datos.

El artículo 38 se refiere a la posición del DPO en la empresa u organización y su relación con el responsable y encargado del tratamiento.

Por último, el artículo 39 detalla las funciones del DPD.

El Dpo en el Rgpd

El Delegado de Protección de Datos en el Rgpd

Funciones del Delegado de Protección de Datos

Como decíamos, las funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD, que establece las siguientes obligaciones mínimas para la gestión del DPO:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de Protección de Datos
  2. Comprobar el cumplimiento del RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
  3. Ofrecer el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna
    • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
    • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice  relativa a la protección de datos.
    • Asesorar a los empleados durante el tratamiento de datos.
    • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
    • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
    • Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
    • Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
    • Formar al personal que participa en las operaciones de tratamiento de datos.
    • Supervisar las evaluaciones de impacto en la protección de datos.
    • Control, coordinación y verificación de las medidas de seguridad aplicables.
  4. Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos.
  5. Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
  6. Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
    • Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
    • Cooperar con la autoridad de control.
Delegado de protección de datos

Delegado de protección de datos: Definición y Funciones

La figura del DPO en la empresa

Para aquellas empresas u organizaciones obligadas a designar un DPO según el RGPD y la LOPDGDD, esta figura profesional es fundamental, porque de no tenerla, se estaría incurriendo en una infracción de la normativa, considerada infracción grave, que puede sancionarse con multas de entre 40.001 euros hasta 300.000 euros.

Además, tener un DPO en la empresa u organización puede facilitar la labor de cumplir con la normativa de protección datos, puesto que este profesional cuenta, como veremos más adelante, con una formación y conocimientos específicos en la materia, que ayudarán a empresas y otro tipo de organizaciones a resolver dudas sobre tratamientos, necesidad o no de hacer evaluaciones de impacto, contactar con la AEPD, etc.

Contrata un Delegado de Protección de Datos

Designación de un delegado de protección de datos

Como decíamos, no es posible designar a cualquier persona para ser el Delegado de Protección de datos, sin tener en cuenta su formación y su experiencia profesional.

En ese sentido, tanto el RGPD, en el artículo 37, puntos 5 y 6, como la LOPDGDD establecen quién puede ser Delegado de Protección de Datos, detallando los requisitos que este perfil profesional debe cumplir.

Por lo tanto, para la designación del DPO en una empresa u organización se deberán tener en cuenta sus cualidades profesionales y, concretamente, de sus conocimientos en materia de Derecho y protección de datos. Aunque ser jurista sería recomendable, no es indispensable.

El artículo 37.5 del RGPD dispone que el Delegado de Protección de Datos será designado atendiendo a:

  1. Sus conocimientos especializados del Derecho
  2. La experiencia práctica en materia de protección de datos
  3. Su capacidad para desempeñar las funciones mínimas a las que hacíamos referencia en el primer apartado de este artículo

A su vez, la LOPDGDD española, añade que esos requisitos podrán demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación, que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en Derecho.

¿Cuándo es necesaria la figura de un DPO en la empresa?

El RGPD y la LOPDGDD indican cuando es necesario tener un Delegado de Protección de Datos, si bien, la ley española es mucho más concreta que el reglamento europeo, y señala cuáles son exactamente los sectores de actividad o tipos de organizaciones dónde es necesaria la figura de un Delegado de Protección de Datos de manera obligatoria.

Así, siempre que la empresa u organización trate datos personales de forma masiva o realice un tratamiento de datos que pueda entrañar un riesgo elevado para los derechos o libertades de las personas. El artículo 34 de la LOPDGDD señala exactamente las actividades y empresas en las que es necesaria la figura de un Delegado de Protección de Datos.

En concreto, la designación de un delegado de protección de datos es obligatoria para:

  • Los colegios profesionales y sus consejos generales.
  • Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, salvo los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

Así mismo, también deberá haber un DPO en las administraciones públicas y las empresas obligadas a tener implementado un canal de denuncias interno.

No es obligatorio designar un Delegado de Protección de Datos si no se está en alguno de los grupos anteriores, si no se tratan datos de forma masiva, o los datos personales no entrañan elevado riesgo para los derechos y libertades del individuo. Aun así, contar con un Delegado de Protección de Datos en la empresa siempre es recomendable, sobre todo en negocios u organizaciones de cierta envergadura.

¿Quién puede ser Delegado de Protección de Datos?

Respecto a quién puede ser Delegado de Protección de Datos, aunque hay empresas obligadas a tener Delegado de Protección de Datos, no es necesario que los empleados de la misma realicen cursos específicos de esta figura, ya que como veremos en el siguiente apartado, puede ser un DPO externo.

No obstante, si decidimos que un empleado de la entidad debe ser el DPO, y este no cuenta con los requisitos formativos necesarios para que sea considerado dicho nombramiento responsable, deberá realizar un itinerario formativo en una entidad acreditada por la AEPD, a fin de cumplir los requisitos formativos para poder ejercer de DPO.

¿Quién debe nombrar al DPO?

La designación del Delegado de Protección de Datos puede realizarla tanto el responsable como el encargado del tratamiento de los datos, cuando ambas empresas se encuentren dentro de los supuestos del delegado de protección de datos obligatorio.

En empresas no obligadas, en las que es recomendable contar con esta figura, quien designa al DPO es también el responsable o el encargado del tratamiento.

¿Qué requisitos se deben cumplir para ser nombrado DPO en una empresa?

Los requisitos para ser Delegado de Protección de Datos son tener experiencia en proyecto o actividades relacionadas con la protección de datos, o contar con formación específica en la materia reconocida:

  • 5 años de experiencia ejerciendo funciones relacionadas con la protección de datos
  • 3 años de experiencia + 60 horas de formación reconocida.
  • 2 años de experiencia + 100 horas de formación reconocida.
  • Sin experiencia serán necesarias 180 horas de formación reconocida.

¿Qué certificación se necesita para ejercer como DPO?

La autoridad de control española, siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación de Delegado de Protección de Datos para que los interesados en ejercer dicha posición puedan acreditarse.

La AEPD y la ENAC son las principales impulsoras de este esquema de certificación.

No obstante, hay que destacar que esta certificación para el DPO en protección de datos no será obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.

¿Qué conocimientos Jurídicos tiene un DPO?

A raíz de la referencia expresa a una titulación universitaria que hace la LOPD-GDD, puede entenderse que el DPO en primer lugar deberá ser licenciado/graduado en Derecho.

No obstante, por la propia materia objeto de trabajo, también resulta muy importante que el DPO tenga un perfil de carácter técnico, habida cuenta que con las nuevas tecnologías, cualquier implantación de políticas de protección de datos, va a requerir de medio telemáticos que permitan desarrollarla, y por ello, está persona deberá colaborar de forma estrecha con quién preste el servicio técnico de página web, programas de gestión, etc., dentro de esa entidad.

¿Qué experiencia práctica en protección de datos debe tener un DPD?

Resulta evidente que al margen de una titulación académica, es necesario llevar esos conocimientos que se han adquirido a la vida real.

Es por esto, que la normativa requiere conocimientos de protección de datos para el DPD de índole práctica, es decir, que el DPD haya participado en proyectos o actividades relacionados directamente con la protección de datos, puesto que se va a convertir en el asesor principal en materia de protección de datos de la organización.

¿Qué capacidad para ejecutar sus funciones mínimas?

La capacidad para ejecutar las funciones del DPO no solo se refiere a su formación y aptitudes profesionales, sino también a su posición dentro de la estructura organizativa de la organización.

Entre esas cualidades deberían estar presentes al menos:

  • Ética Profesional
  • Conocimiento sobre el sector empresarial y organización corporativa interna
  • Buena capacidad comunicativa, habilidad negociadora y trabajo en equipo
  • Manejo de diferentes idiomas
  • Proactividad
  • Independencia para trabajar sin supervisión continua.

¿Tiene una responsabilidad personal el DPO?

La respuesta es no. El RGPD establece de forma clara que es el responsable o encargado del tratamiento y no el Delegado quien tiene la obligación de aplicar las medidas de carácter técnico y organizativo necesarias para garantizar y demostrar que el tratamiento es conforme a la normativa.

No obstante, el DPO deberá asesorar directamente al máximo responsable de la entidad, el cual, deberá tener en cuenta la opinión y las directrices de este, siendo suya la última palabra (y también la responsabilidad derivada de las consecuencias) a la hora de aceptar o no los consejos que recibe de su máximo asesor en materia de privacidad.

Si tu empresa necesita contratar un Delegado de Protección de Datos, no dudes en ponerte en contacto con Grupo Atico34, encontrarás un equipo de abogados experto en protección de datos, que cumplirán con las funciones del DPO.

Dar de alta un Delegado de Protección de Datos

La contratación de un delegado de protección de datos se realizará por los métodos o cauces que la organización considere oportunos, siempre teniendo en cuenta que los profesionales destinados a este puesto han de cumplir una serie de requisitos antes mencionados.

A su vez, para dar de alta un DPO será necesario que la empresa contratante, a través del responsable o encargado del tratamiento, publique los datos de contacto del delegado de protección de datos y comunique dichos datos de contacto a las autoridades de control pertinentes, en este caso la AEPD (Agencia Española de Protección de Datos).

Para dar de alta al DPO de la empresa u organización es necesario comunicar su información de contacto a través de un formulario en la sede electrónica de la AEPD. Asimismo, en dicha sede electrónica será posible consultar los datos de contacto de todos los DPO presente en su base de datos. La información presente en dicha base de datos no podrá ser usada con otros fines distintos a la mera consulta, estando prohibido su tratamiento, difusión o cualquier otra finalidad distinta a la prevista.

¿Necesitas un Delegado de Protección de Datos para tu organización?

Si necesitas contratar un DPO para tu empresa, en Grupo Atico34 podemos ayudarte. Recuerda que esta figura será necesaria siempre que trates datos personales de forma masiva o si los datos que manejas entrañan un riesgo elevado para los derechos y libertades de los individuos.

Nuestros DPO tienen formación y experiencia específica en la materia y te guiarán en todo lo necesario para cumplir con el RGPD y la LOPDGDD. Ponte en contacto con nosotros, cuéntanos tu caso y te asignaremos el Delegado de Protección de Datos que mejor se adapte a las necesidades de tu empresa.

Respecto a cuál es el coste de un DPO, en el caso de Atico34, las tarifas y el precio del Delegado de Protección de Datos se incluyen en nuestros servicios.