La figura del Delegado de Protección de Datos (DPD) constituye uno de los elementos clave del Reglamento general de Protección de Datos (RGPD) y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones.
Existen algunos supuestos en los que es obligatorio nombrar un Delegado de Protección de datos, en la tribuna de hoy vamos a profundizar en estos supuestos.
¿Qué es el Delegado de Protección de Datos?
Pero primero, conozcamos un poco más sobre la figura del delegado de protección de datos.
Se trata de un especialista en protección de datos que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
¿Qué perfil debe tener un Delegado de Protección de Datos?
El nivel de conocimientos especializado que debe tener el DPD se debe determinar en función de las operaciones de tratamiento de datos realizados y la protección exigida para los datos personales tratados.
Las competencias y conocimientos pertinentes que debe tener un DPD incluyen:
- Conocimientos especializados sobre la legislación y prácticas nacionales y europeas en materia de protección de datos.
- Una profunda comprensión del RGPD
- Comprensión de las operaciones de tratamiento que se llevan a cabo.
- Comprensión de las tecnologías de la información y de la seguridad de los datos.
- Conocimiento del sector empresarial y de la organización.
- Capacidad para fomentar una cultura de protección de datos en la organización.
¿Cuándo es obligatorio tener un delegado de proteccion de datos?
Tanto el RGPD como la Ley LOPD 3/2018 regulan una serie de supuestos en los que es obligatoria la designación de un Delegado de protección de Datos por parte de los responsables y encargados del tratamiento.
El RGPD recoge los supuestos en que es obligatorio nombrar un Delegado de Protección de Datos en su artículo 37.1, estos supuestos son:
- El tratamiento lo lleve a cabo una autoridad u organismo público.
- Las principales responsabilidades del encargado del tratamiento consistan en operaciones del tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran la observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Si te preguntas, qué empresas están obligadas a tener un delegado de protección de datos, la LOPD 3/2018 recoge los supuestos en que es obligatorio nombrar un Delegado de Protección de Datos en su artículo 34.1, estos supuestos son:
- Colegios profesionales y sus consejos generales.
- Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito.
- Aseguradoras y reaseguradoras.
- Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Organizaciones que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Empresas de seguridad privada.
- Federaciones deportivas cuando traten datos de menores de edad.
Cuándo no es obligatorio designar un Delegado de Protección de Datos
No obstante, cuando no es obligatorio designar un Delegado de Protección de Datos es porque la entidad no realiza tratamientos a gran escala, ni maneja datos especialmente sensibles, ni lleva a cabo una monitorización sistemática de personas.
En estos casos, aunque no sea una exigencia legal, muchas organizaciones optan por designarlo de forma voluntaria como medida de garantía y cumplimiento.
–> Quizá te interese el Curso Superior Universitario de: Delegado de Protección de Datos (DPD) acreditado por ANF
Obligaciones en la designación de un Delegado de Protección de Datos
El responsable o el encargado del tratamiento tienen la siguientes obligaciones cuando nombra un Delegado de Protección de Datos:
- Publicar los datos de contacto del delegado de protección de datos
- Comunicar a designación a la autoridad de control.
Diferencia entre responsable, encargado y Delegado de Protección de Datos
Es esencial no confundir las funciones entre estas tres figuras: el responsable del tratamiento decide sobre el uso de los datos; el encargado del tratamiento los gestiona por cuenta del responsable; y el Delegado de Protección de Datos supervisa el cumplimiento normativo, siendo independiente en sus funciones.
¿Qué funciones tiene el Delegado de Protección de datos?
El artículo 39 del RGPD especifica las funciones del Delegado de Protección de Datos, estas son:
- Informar y asesorar al responsable o al encargos del tratamiento y a los empleados que lleven a cabo el tratamiento de datos, de las obligaciones que impone el RGPD y demás normativa aplicable en protección de datos.
- Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia,
- Supervisar la asignación de responsabilidades.
- Supervisar la concienciación y la formación del personal que participa en las operaciones del tratamiento
- Supervisar las auditorías correspondientes.
- Ofrecer asesoramiento a cerca de la evaluación del impacto relativa a la protección de datos.
- Supervisar su aplicación conforme al artículo 35 del RGPD.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa.
- Realizar consultas a la autoridad de control, sobre cualquier otro asunto.
¿Cuánto cobra un Delegado de Protección de Datos?
Realmente, la remuneración de un DPD varía en función del sector, tamaño de la organización, experiencia y si trabaja de forma interna o como servicio externo. Aunque no existe una tarifa fija, conocer cuánto cobra un Delegado de Protección de Datos, es clave para empresas que valoran incorporar esta figura
¿Qué formación debe tener el Delegado de Protección de Datos?
Al Delegado de Protección de Datos no se le exige ningún tipo de titulación y tampoco tiene que estar certificado, sin embargo, con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios profesionales de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPD.
Este esquema es un sistema de certificación que permite certificar que los Delegados de protección de datos reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión.
Aunque esta certificación no es obligatoria para poder ejercer como DPD, estar certificado sirve como garantía para acreditar la cualificación profesional y capacidad profesional de los candidatos a Delegado de Protección de datos.
El programa formativo de Delegado de Protección de Datos (DPD) de INEAF está acreditado por ANF entidad de certificación al cumplir con los requisitos establecidos en el esquema de la AEPD.
La titulación expedida por INEAF habilita a los alumnos para presentarse al examen convocado por cualquier entidad certificadora debidamente acreditada por la AEPD y obtener la Certificación profesional como Delegado de Protección de Datos.
Certificado delegado de protección de datos
La evaluación de los conocimientos y capacidades técnicas o profesionales para ser Delegado de Protección de datos, se llevará a cabo mediante la realización de un examen. Para acceder al examen de certificación, será necesario cumplir alguno de los siguientes prerrequisitos:
- Justificar una experiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos.
- Justificar una experiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema de certificación.
- Justificar una experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema de certificación.
- Justificar una y una formación mínima reconocida de 180 horas en relación con las materias incluidas en el programa del Esquema de certificación.
Para acreditar la formación requerida, se debe aportar un certificado de haber recibido una formación reconocida por una entidad de formación acreditada, como la que dispones en INEAF.
Puedes ampliar esta información en el artículo: Obtener la Certificación como Delegado de protección de datos.
Deja un comentario