Conoce Atico34 - Solicita presupuesto
DPO

¿Quién designa al DPO?

En el blog de Grupo Atico34 ya hemos hablado de la figura del Delegado de Protección de Datos (DPO o DPD) en otros artículos, en los que hemos explicado sus funciones o qué organizaciones privadas y públicas están obligadas a nombrar un DPO. En este artículo vamos a responder a la siguiente cuestión, ¿quién designa al DPO?

¿Quién nombra al Delegado de Protección de Datos?

Como ya os hemos explicado en otros artículos, el artículo 37 del RGPD y el artículo 34 de la LOPDGDD, establecen en qué actividades es el DPO obligatorio, así mismo, también especifican que quiénes deben nombrar al Delegado de Protección Datos son tanto los responsables del tratamiento como los encargados del tratamiento que cumplan con los requisitos del RGPD o, sin perjuicios de estos, sus actividades estén contempladas en la LOPDGDD.

Así, es posible que haya casos en los que el DPO deba designarlo el responsable del tratamiento al cumplir con los criterios establecidos en la normativa, y casos en los que quien deberá nombrar al DPO será el encargado. También es posible que haya supuestos en los que responsable y encargado tengan la obligación ambos de tener un DPO, en cuyo caso, los DPO deberán cooperar entre sí.

Cabe señalar también que hay situaciones en las que aunque el responsable del tratamiento deba designar al DPO, su encargado no estará obligado a nombrarlo, aunque puede resultar recomendable hacerlo.

¿Quién designa al DPO en una empresa?

Ahora que ya sabemos quién nombra al DPO con carácter general, puede surgir la duda de quién debe nombrar al DPD dentro de la empresa (el responsable o encargado del tratamiento).

Si atendemos a los criterios y requisitos que establece la normativa sobre la figura del Delegado de Protección de Datos, la persona encargada de su nombramiento debe ser alguien con un cargo de responsabilidad y una posición destacada en el organigrama de la empresa, además de alguien con poder y autonomía en la toma de decisiones. En ese sentido, son varios los perfiles que encajan para ocuparse de buscar y designar al DPO (si bien es cierto, que dependiendo del tamaño de la empresa, no todos esos perfiles existirán).

Así, la primera figura responsable que nos viene a la cabeza para nombrar al DPO es el CEO (director ejecutivo o consejero delegado) de la empresa, puesto que es quien ocupa el puesto con mayor responsabilidad respecto a la gestión y dirección administrativa de la empresa. En empresas medianas y pequeñas, será su director quien designe al DPO (con el asesoramiento o no de otros miembros de la empresa).

En empresas más grandes, que cuenten con departamentos específicos, especialmente en áreas de informática y seguridad de la información, el nombramiento del DPO también podría recaer en figuras como el CISO (Chief Information Security Officer), que es el responsable de la seguridad de la información y los datos de la empresa, el CTO (Chief Technology Officer), responsable técnico del desarrollo y funcionamiento de los sistemas de información de la empresa, o incluso del CCO (Chief Communications Officer), responsable de comunicación, imagen y reputación corporativa, o el CFO (Chief Financial Officer), el director financiero de la entidad, o el CLO (Chief Legal Officer), el director jurídico o director del área legal de la empresa.

Todos estos perfiles cuentan con una posición jerárquica destacada, poder de decisión y autonomía. Así mismo, aunque el encargado de nombrar al DPO sea el CEO, este podrá hacerlo previa consulta a los otros responsables, especialmente al CISO, el CTO y el CLO.

En cualquier caso, con independencia de quién lo nombre, el DPO siempre deberá mantener su autonomía e independencia respecto a los responsables ejecutivos de la empresa, para evitar presiones y conflictos de intereses y poder desempeñar sus funciones de una manera completamente objetiva.

Así mismo, el DPO deberá poder asesorar a estos cargos, transmitirles sus informes y decisiones en materia de protección de datos y, finalmente, rendir cuentas a la dirección o consejo de administración de la empresa.

Contrata un Delegado de Protección de Datos

¿Quién designa al DPO en las Administraciones Públicas?

La designación del DPO en las Administraciones Públicas la puede hacer un órgano de nivel jerárquico superior a aquel o aquellos órganos que sean responsables o encargados del tratamiento, sin perjuicio de que la posición de Delegado de Protección de Datos se adquiera a través de un proceso de concurso/oposición.

¿Se puede designar a un DPO externo?

Sí, tanto empresas privadas como entidades públicas pueden designar un DPO externo, es decir, pueden contratar los servicios del Delegado de Protección de Datos a una consultoría especializada en protección de datos, como Grupo Atico34. De esa manera, se garantiza la independencia y autonomía del DPO, así como su objetividad.

Tanto el RGPD como la LOPDGDD establecen que el cargo del DPO puede ser desempeñado por un empleado interno como por un servicio externo, en cuyo caso, será necesario formalizar un contrato de prestación de servicios que refleje tanto la relación con el responsable o encargado del tratamiento, así como la independencia y ausencia de conflictos de intereses.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.