Primeras sanciones por no disponer de un Delegado de Protección de Datos

Share on facebook
Share on linkedin
Share on twitter
Share on email

La Agencia Española de Protección de Datos (AEPD) ha impuesto las primeras sanciones por no tener designado un Delegado de Protección de Datos (DPD).

¿Quién necesita un Delegado de Protección de Datos?

Según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) existen organizaciones que deben designar un DPD de forma obligatoria, como por ejemplo, en determinadas circunstancias:

  • Centros sanitarios
  • Operadores de juego online
  • Centros docentes y universidades
  • Colegios profesionales y sus consejos generales
  • Federaciones deportivas (cuando se traten de menores)
  • Empresas de seguridad privada y aseguradoras
  • Prestadores de la sociedad de la información
  • Entidades con actividades publicitarias
  • Establecimientos financieros de crédito
  • Empresas de servicios de inversión
  • Entidades responsables de ficheros comunes

 

Requisitos para ser un DPD

  • Debe reunir conocimientos especializados en Derecho y la práctica en materia de protección de datos.
  • Debe desempeñar sus tareas y funciones con total independencia sin que pueda haber lugar a conflicto de intereses.
  • Debe tener acceso a los recursos necesarios para el desempeño de sus funciones y en especial el acceso a los datos personales y a las operaciones de tratamiento.
  • Debe rendir cuentas directamente al más alto nivel jerárquico.
  • Debe estar disponible y ser accesible para comunicarse con los interesados y estar en condiciones de cooperar con las autoridades de control.

 

Tipos de DPD

  • DPD Interno: miembro de la plantilla que pueda actuar con independencia.
  • DPD Externo: externalización de los servicios en el marco de un contrato de prestación de servicios.

 

¿Qué funciones tiene un DPD?

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones de la normativa aplicable en protección de datos.
  • Supervisar el cumplimiento de la normativa y políticas de protección de datos, incluida la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Comunicarse eficazmente con los interesados del tratamiento y cooperar con las autoridades de control.
  • Actuar como punto de contacto con la AEPD para realizar consultas relativas al tratamiento.

 

Para aquellos casos en que no sea necesario designar un DPD:

  • Las entidades pueden hacerlo con carácter voluntario para demostrar una responsabilidad proactiva.
  • Es recomendable documentar un análisis de necesidad de DPD a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes.
  • Será igualmente recomendable disponer de personal cualificado o asesores externos que puedan garantizar el cumplimiento de la seguridad de la información y el cumplimiento normativo, que puede ser agrupado en forma de Comité de Seguridad designado por la dirección general de la organización.