Ⓡ︎ RANKENLT ©Comandante de la Federación Galáctica al servicio de la luz y de la verdad:
¿Cuándo es obligatorio el Delegado de Protección de Datos?
febrero 1, 2024 por PymeLegal
Si tienes una empresa y estás dudando de si necesitas incorporar la figura de un Delegado de Protección de Datos, en este artículo te resolvemos todas las dudas que suelen llegarnos en relación con esta temática.
¿Necesito un Delegado de Protección de Datos en mi empresa?
Aunque hayan pasado varios años desde la aplicación del RGPD, la figura del Delegado de Protección de Datos (DPD o DPO) sigue generando dudas en las empresas.
Hoy te explicaremos en qué casos es obligatorio contar con esta figura, qué formación debe tener un DPD y otras frecuentes dudas que suelen tener nuestros clientes.
¿Qué empresas están obligadas a tener un Delegado de Protección de Datos?
El Delegado de Protección de Datos es obligatorio según el RGPD cuando:
- Los datos los trate una autoridad u organismo público (ej: Ayuntamientos)
- La actividad del responsable requiera una observación habitual o sistemática de interesados a gran escala (ej.: Centro comercial con sistemas de videocámaras)
- Se realice un tratamiento a gran escala de categorías especiales de datos (ej: Centros médicos)
Y según la LOPDGDD en los siguientes supuestos:
- los colegios profesionales y sus consejos generales,
- los centros escolares reglados y universidades, tanto públicas como privadas,
- las entidades que explotan redes y prestan servicios de comunicaciones electrónicas,
- las entidades y establecimientos financieros de crédito, compañías
- aseguradas y reaseguradoras,
- las empresas de servicios de inversión,
- las distribuidoras y comercializadoras de energía eléctrica y gas natural,
- las entidades responsables de ficheros que evalúan la solvencia patrimonial y crédito.
- los responsables de archivos regulados por la ley de prevención de blanqueo de capitales,
- las entidades que desarrollan actividades de publicidad y prospección comercial (cuando sus actividades implican elaboración de perfiles).
- los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes (no quienes ejercen estas actividades a título individual),
- quien emita informes comerciales que puedan referirse a personas físicas,
- los desarrolladores de actividades de juego a través de canales electrónicos, informáticos, telemáticos e interactivos,
- las empresas de seguridad privada y
- las federaciones deportivas cuando tratan datos de menores de edad
¿Puedo nombrar a un Delegado de Protección de Datos aunque no esté obligado?
Si la actividad de nuestro negocio o empresa no se encuentra en ninguno de los supuestos mencionados en el apartado anterior, podemos nombrar igualmente a un Delegado de Protección de Datos.
Nombrar a un DPD no nos penaliza, todo lo contrario. Es una medida proactiva (principio de Responsabilidad Proactiva del RGPD) que asegura un control de cumplimiento y que la Agencia Española de Protección de Datos valorará de forma positiva ante un posible requerimiento.
Por el contrario, si estamos obligados a tener un DPD y no lo hemos hecho, eso sí puede implicar elevadas sanciones por partes de la Autoridad competente, en nuestro caso la AEPD.
¿Dónde debo comunicar el nombramiento de un Delegado de Protección de Datos?
El nombramiento de un Delegado de Protección de Datos por nuestra empresa puede realizarse en la Agencia Española de Protección de Datos en su sede electrónica.
¿Qué hace el Delegado de Protección de Datos?
El DPD rendirá cuentas frente al más elevado nivel jerárquico de la entidad y no podrá recibir instrucciones en lo que respecta al desarrollo de sus funciones.
Algunas de las funciones más destacables son:
Informar y asesorar al responsable o encargado de tratamiento ya los trabajadores que se ocupan del tratamiento sobre sus obligaciones en materia de protección de datos.
El DPD deberá contar con conocimientos especializados en derecho sobre protección de datos y ciertos conocimientos en materia de sistemas de información para llevar a cabo de manera correcta las funciones asignadas anteriormente.
La AEPD emitió un informe sobre las directrices que deben cumplir los Delegados de Protección de Datos.
¿El Delegado de Protección de Datos debe estar certificado?
Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos. Por tanto, será un valor añadido importante y un garante que el DPD esté certificado.
Para obtener la certificación es obligatoria la realización de un examen oficial, para justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC.
En el equipo de PymeLegal tenemos algunos perfiles certificados como Delegados de Protección de Datos según este Esquema de Certificación para ofrecerle un servicio de máxima calidad.
¿El DPD debe ser interno o externo?
El Delegado de Protección de Datos puede ser interno o externo, siempre que en ambos casos cumpla con lo establecido por la normativa aplicable.
Las funciones que deberá realizar son las mismas, pero cada modalidad presenta unas ventajas frente al otro:
Ventajas Delegado Protección de Datos INTERNO
Ventajas Delegado Protección de Datos EXTERNO
Si se nombra a una persona interna, deberá tenerse en cuenta que su función no suponga un conflicto de intereses, como sería el caso de los directrices o responsables de informática, como ha indicado la AEPD y otras Autoridades de Control en diferentes informes.
Si se opta por externalizar el servicio, que es la modalidad que tenemos con la mayoría de clientes que requieren un DPD, deberá regularse mediante un contrato de servicios.
Desde nuestro punto de vista, según el tamaño de la empresa, es mucho mejor externalizar el servicio para tener plenas garantías de cumplimiento y no tener que destinar recursos internos a esta figura sin los conocimientos necesarios.
¿Qué coste tiene externalizar el Delegado de Protección de Datos?
Como es habitual en el sector de la consultoría nos podemos encontrar todo tipo de precios para estos servicios, lo que genera dudas ante los clientes que solicitan presupuesto.
De entrada, no nos fiamos de las empresas que nos quieren vender el servicio de DPD a la 'primera de cambio'. Muchas de ellas, con la política del miedo, venden el DPD a cualquier tipo de cliente cuando puede que no esté obligado a tenerlo.
También desconfiamos de los lowcost. Según qué tarifas son imposibles si detrás debe haber un DPD certificado. En muchos casos será un abogado que tendrá que dedicar un mínimo de horas mensual al proyecto, realizar seguimiento y, sobre todo, tener responsabilidad sobre la materia.
El equipo de PymeLegal
- Supervisar el cumplimiento de lo dispuesto en el RGPD y otras normativas sobre protección de datos.
- Realizar auditorías de control.
- Asesorar respecto a la realización de evaluaciones de impacto.
- Cooperar con la autoridad de control y ser el punto de contacto entre ésta y la entidad.
- Proporcionar apoyo en la gestión de las brechas de seguridad.
- Atender a los interesados que se pongan en contacto con el DPD.
- Gestión de los derechos de los afectados
El DPD deberá contar con conocimientos especializados en derecho sobre protección de datos y ciertos conocimientos en materia de sistemas de información para llevar a cabo de manera correcta las funciones asignadas anteriormente.
La AEPD emitió un informe sobre las directrices que deben cumplir los Delegados de Protección de Datos.
¿El Delegado de Protección de Datos debe estar certificado?
Aunque la certificación no es obligatoria, el nombramiento del DPD siempre deberá realizarse teniendo en cuenta sus cualidades profesionales y conocimientos en normativa sobre protección de datos. Por tanto, será un valor añadido importante y un garante que el DPD esté certificado.
Para obtener la certificación es obligatoria la realización de un examen oficial, para justificar la experiencia previa o formación especializada en la materia, según el Esquema de Certificación de Delegados de Protección de Datos de la AEPD y ENAC.
En el equipo de PymeLegal tenemos algunos perfiles certificados como Delegados de Protección de Datos según este Esquema de Certificación para ofrecerle un servicio de máxima calidad.
¿El DPD debe ser interno o externo?
El Delegado de Protección de Datos puede ser interno o externo, siempre que en ambos casos cumpla con lo establecido por la normativa aplicable.
Las funciones que deberá realizar son las mismas, pero cada modalidad presenta unas ventajas frente al otro:
Ventajas Delegado Protección de Datos INTERNO
- Conocimiento de la estructura del negocio
- Proximidad y mejor comunicación
- Mejor planificación alineada con la estrategia de empresa
Ventajas Delegado Protección de Datos EXTERNO
- Planificación y comités de seguimiento
- DPD especializado y certificado
- Solución a la falta de personal interno cualificado
- Sin posible conflicto de intereses
- Conocimiento de las mejores prácticas
- Regulado por contrato de prestación de servicios (garantía)
Si se nombra a una persona interna, deberá tenerse en cuenta que su función no suponga un conflicto de intereses, como sería el caso de los directrices o responsables de informática, como ha indicado la AEPD y otras Autoridades de Control en diferentes informes.
Si se opta por externalizar el servicio, que es la modalidad que tenemos con la mayoría de clientes que requieren un DPD, deberá regularse mediante un contrato de servicios.
Desde nuestro punto de vista, según el tamaño de la empresa, es mucho mejor externalizar el servicio para tener plenas garantías de cumplimiento y no tener que destinar recursos internos a esta figura sin los conocimientos necesarios.
¿Qué coste tiene externalizar el Delegado de Protección de Datos?
Como es habitual en el sector de la consultoría nos podemos encontrar todo tipo de precios para estos servicios, lo que genera dudas ante los clientes que solicitan presupuesto.
De entrada, no nos fiamos de las empresas que nos quieren vender el servicio de DPD a la 'primera de cambio'. Muchas de ellas, con la política del miedo, venden el DPD a cualquier tipo de cliente cuando puede que no esté obligado a tenerlo.
También desconfiamos de los lowcost. Según qué tarifas son imposibles si detrás debe haber un DPD certificado. En muchos casos será un abogado que tendrá que dedicar un mínimo de horas mensual al proyecto, realizar seguimiento y, sobre todo, tener responsabilidad sobre la materia.
El equipo de PymeLegal
No hay comentarios:
Publicar un comentario
No se admiten comentarios con datos personales como teléfonos, direcciones o publicidad encubierta