En el blog de Grupo Atico34 ya hemos hablado de la figura del Delegado de Protección de Datos (DPO o DPD) en otros artículos, en los que hemos explicado sus funciones o qué organizaciones privadas y públicas están obligadas a nombrar un DPO. En este artículo vamos a responder a la siguiente cuestión, ¿quién designa Delegado de Protección de Datos o DPO?
En este artículo hablamos de:
¿Quién designa al DPO en una empresa?
Puesto que ni el RGPD ni la LOPDGDD indican literalmente quién debe nombrar al Delegado de Protección de Datos dentro de la empresa, es posible que llegado el momento de tener que designar al DPO, la dirección o administración de la misma dude sobre quién recae esta responsabilidad.
Si atendemos a los criterios y requisitos que establece la normativa sobre la figura del DPD, la persona encargada de designar al Delegado de Protección de Datos en la empresa debe ser alguien con un cargo de responsabilidad y una posición destacada en el organigrama de la empresa, además de alguien con poder y autonomía en la toma de decisiones. En ese sentido, son varios los perfiles que encajan para ocuparse de buscar y designar al DPO (si bien es cierto, que dependiendo del tamaño de la empresa, no todos esos perfiles existirán).
En Grupo Atico34 contamos con expertos especializados en protección de datos. Puedes contratar un DPO desde 50 euros.
Así, la primera figura responsable que nos viene a la cabeza para nombrar al DPO es el CEO (director ejecutivo o consejero delegado) de la empresa, puesto que es quien ocupa el puesto con mayor responsabilidad respecto a la gestión y dirección administrativa de la empresa. En empresas medianas y pequeñas, será su director quien designe al DPO (con el asesoramiento o no de otros miembros de la empresa).
En empresas más grandes, que cuenten con departamentos específicos, especialmente en áreas de informática y seguridad de la información, el nombramiento del DPO también podría recaer en figuras como el CISO (Chief Information Security Officer), que es el responsable de la seguridad de la información y los datos de la empresa, el CTO (Chief Technology Officer), responsable técnico del desarrollo y funcionamiento de los sistemas de información de la empresa, o incluso del CCO (Chief Communications Officer), responsable de comunicación, imagen y reputación corporativa, o el CFO (Chief Financial Officer), el director financiero de la entidad, o el CLO (Chief Legal Officer), el director jurídico o director del área legal de la empresa.
Todos estos perfiles cuentan con una posición jerárquica destacada, poder de decisión y autonomía. Así mismo, aunque el encargado de nombrar al DPO sea el CEO, este podrá hacerlo previa consulta a los otros responsables, especialmente al CISO, el CTO y el CLO.
En cualquier caso, con independencia de quién lo nombre, el DPO siempre deberá mantener su autonomía e independencia respecto a los responsables ejecutivos de la empresa, para evitar presiones y conflictos de intereses y poder desempeñar sus funciones de una manera completamente objetiva.
Así mismo, el DPO deberá poder asesorar a estos cargos, transmitirles sus informes y decisiones en materia de protección de datos y, finalmente, rendir cuentas a la dirección o consejo de administración de la empresa.
¿Quién designa al DPO en las Administraciones Públicas?
La designación del DPO en las Administraciones Públicas la puede hacer un órgano de nivel jerárquico superior a aquel o aquellos órganos que sean responsables o encargados del tratamiento, sin perjuicio de que la posición de Delegado de Protección de Datos se adquiera a través de un proceso de concurso/oposición.
¿Cuándo se debe nombrar un Delegado de Protección de Datos?
Ahora que ya sabemos quién debe nombrar al DPD, tanto en empresas como en las Administraciones públicas, veamos cuándo hay que nombrar un Delegado de Protección de Datos en estas entidades.
El artículo 37 del RGPD y el artículo 34 de la LOPDGDD, como ya hemos visto en otros artículos, establecen cuándo y en qué actividades es el DPO obligatorio para responsables y encargados del tratamiento, por lo tanto, en el momento en que una empresa cumpla con los requisitos del RGPD o se dedique a una de las actividades previstas en la LOPDGDD, deberá designar en el menor tiempo posible a su Delegado de Protección de Datos.
Si bien es cierto que la normativa no establece un plazo de tiempo determinado para ello, se da a entender que las entidades obligadas a designar un DPO, deberán hacerlo lo antes posible.
Respecto a las empresas que no están obligadas a designar un Delegado de Protección de Datos, pero que lo hagan de manera voluntaria, podrán hacerlo en cualquier momento.
¿Cómo se designa al Delegado de Protección de Datos?
Para la designación del Delegado de Protección de Datos, y tal y como establece el artículo 37.5 del RGPD, se atendrá a sus cualidades profesionales, en concreto, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y su capacidad para desempeñar las funciones que tiene atribuidas.
Una vez designado, responsables y encargados del tratamiento deberán proceder con la comunicación del Delegado de Protección de Datos a la Agencia Española de Protección de Datos (AEPD) o, en su caso, a las autoridades autonómicas de protección de datos. Esta comunicación deberá hacerse tanto si la designación del DPO es obligatoria como voluntaria.
Los datos de contacto del Delegado de Protección de Datos figurarán tanto en el registro de la AEPD o de la autoridad de control autonómica correspondiente, como en la información o política de privacidad de la empresa o entidad pública, de manera que los interesados que quieran dirigirse a él, puedan hacerlo con facilidad.
¿Se puede designar a un DPO externo?
Sí, tanto empresas privadas como entidades públicas pueden designar un DPO externo, es decir, pueden contratar los servicios del Delegado de Protección de Datos a una consultoría especializada en protección de datos, como Grupo Atico34. De esa manera, se garantiza la independencia y autonomía del DPO, así como su objetividad.
Tanto el RGPD como la LOPDGDD establecen que el cargo del DPO puede ser desempeñado por un empleado interno como por un servicio externo, en cuyo caso, será necesario formalizar un contrato de prestación de servicios que refleje tanto la relación con el responsable o encargado del tratamiento, así como la independencia y ausencia de conflictos de intereses.