¿Qué funciones tiene un DPD?, ¿Por qué tengo que contar con un Delegado de Protección de Datos?, ¿Cómo sé que elijo un buen profesional para ejercer como DPD?, etc. estas son muchas de las preguntas que muchas empresas se hacen.

 

  1. ¿Qué es y qué hace un DPD?

DPD significa Delegado de Protección de Datos o en inglés DPO (Data Protection Officer) es una figura que se dedica a supervisar en las empresas el buen cumplimiento de la normativa en protección de datos.

Funciones del DPD:

  • El DPD supervisa las Evaluaciones de Impacto (EIPD-PIA) si se precisan en la empresa.
  • El Delegado de Protección de Datos es quien propone las directrices a la empresa para el buen cumplimiento del RGPD y la LOPDGDD.
  • Revisa que los contratos con clientes, proveedores estén acorde a la normativa de protección de datos, asimismo supervisa los compromisos de confidencialidad de los empleados/as de la empresa.
  • El DPD atiende los derechos que asisten a los interesados/as en materia de protección de datos.
  • También media entre la autoridad de control (AEPD) y el responsable de tratamiento, así como con los interesados/as.
  • Es conveniente invitar al DPD para que asista a las reuniones en la toma de decisiones en la que vaya a ver implicaciones de tratamientos de datos personales, por ejemplo, la instalación de cámaras de video vigilancia, el uso de datos biométricos, etc.
  • En el caso de discrepancias con las directrices del DPD, se recomienda documentar los motivos de estas para que quede constancia, ante unas posibles responsabilidades legales en la materia.
  • Asesora en el supuesto caso de una violación o brecha de seguridad de los datos.
  1. ¿En qué normativa viene recogida esta figura?

El Delegado de protección de datos viene regulado en el RGPD en La sección 4 en sus artículos 37 al 39 y en la LOPDGDD en el capítulo III en los artículos 34 al 37.

  1. ¿Mi empresa está obligada a tener contratado un DPD?

No todas las empresas tienen la obligación de contar con un Delegado de Protección de Datos, si bien, muchas empresas cuentan con esta figura a titulo voluntario, para conseguir buen cumplimiento de la normativa de protección de datos, así como una buena imagen ante sus clientes y potenciales clientes.

En el articulo 34 de la LOPDGDD viene bien indicado qué empresas están obligadas a tener un DPD.

Una pregunta recurrente es el caso de profesionales sanitarios, que no saben cuándo deben estar obligados a tener un DPD y cuando no, bien, está recogido en el artículo 34 letra l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. (sic)

Esto quiere decir, que, por ejemplo, tengo un centro de fisioterapia y soy un solo y único profesional que atiende a los pacientes, no estoy obligado a contar con la figura del DPD.

Pero si fuera el caso en el que tengo contratado a otro fisioterapeuta, entonces, si estoy obligado, porque ya no ejerzo a título individual.

 

  1. ¿Cómo elijo un buen DPD?

Empezaremos diciendo, que un DPD es un encargado de tratamiento, es decir, que según el articulo 28 del RGPD, donde se dice que el responsable del tratamiento debe velar por la buena elección de sus encargados de tratamiento.

Cumpliendo este precepto y para no contratar a un DPD que no reúna los requisitos, que además están recogidos en el artículo 37.5 del RGPD y en el 35 de la LOPDGDD.

Debemos solicitar al DPD que queremos contratar, acreditación de su formación, tanto a nivel universitario como a nivel de conocimientos de la normativa de protección de datos.

Le solicitaremos nos acredite experiencia en la materia, cuántos años lleva ejerciendo, si ha auditado a empresas, etc.

El tema de las certificaciones, pues hay controversia al respecto, ya que, por ejemplo, el esquema de certificación de la AEPD no requiere experiencia, entendemos que es un punto de lo más importante, porque, los conocimientos que se adquieren con la practica además de la teoría que nos ofrece la formación.

Puede elegir que un empleado/a de su empresa ejerza como Delegado de Protección de Datos,  siempre que la persona elegida, tenga conocimientos preferiblemente en derecho y en tecnología, así como una formación de mínimo 120 horas en materia de protección de datos.

Pero lo más importante es que no puede existir conflicto de intereses y obviamente siendo de la empresa existe.

 

  1. ¿Puedo contratar el servicio del DPD con los fondos para la formación?

Nunca, es un fraude.

Hay empresas que ofrecen este servicio a cargo de los fondos para la formación, es decir, indican a la empresa que realice un curso y a cambio le llevan la adaptación a la normativa de protección de datos y está incluido el DPD y no le costará nada más que el crédito formativo que tenga disponible.

Si usted lleva a cabo esta práctica, no valdrá el eximente por desconocimiento, y deberá devolver lo que se ha bonificado, más la sanción que el ministerio de trabajo le imponga.

  1. ¿Puedo despedir al DPD antes de finalizar el contrato suscrito?

En el articulo 36.2 de la LOPDGDD indica que no se puede despedir a un DPD si no es porque incumple con la normativa de protección de datos.

También lo recoge el artículo 38.3 del RGPD. (El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado) (sic)

 

  1. ¿Dónde se notifican los datos del DPD?

El Delegado de Protección de Datos (DPD) se deberá inscribir en la Agencia de Protección de Datos (AEPD).

Es importante que aparezcan los datos de la persona física que ejerce como DPD, aunque sea una empresa la que hemos contratado el servicio.

Los datos del DPD, como nombre, teléfonos de contacto y correo electrónico, aparecerá en las cláusulas y contratos de la empresa para con sus clientes, proveedores, empleados.