A lo largo de estos últimos meses, nuestros clientes nos han estado realizando las mismas consultas sobre la figura del DPO:
¿Estoy obligado a tener un DPO? ¿El DPO debe ser interno o puede ser externo? ¿Qué funciones tendrá el DPO?
Pues bien, intentaremos resumir las respuestas a todas estas preguntas, y alguna más, a lo largo de este artículo.
¿Estoy obligado a tener un DPO?
Conforme al RGPD, serás un sujeto obligado a designar un Delegado de Protección de Datos (DPD / DPO) siempre que tu organización sea:
- Una Administración Pública (salvo juzgados y tribunales)
- Una entidad cuya actividad principal requiera observación habitual y sistemática de interesados a gran escala.
- Entidad cuya actividad principal consista en tratar datos especialmente protegidos o infracciones penales a gran escala.
Además, con la entrada en vigor de la reciente LOPDGDD el pasado 6 de diciembre de 2018, tal y como comentamos en el artículo “15 cosas a tener en cuenta con la nueva LOPD”, la lista de las organizaciones obligadas a designar un Delegado de Protección de Datos se amplía, por lo que deberás designarlo si tu organización es:
- Un colegio profesional o un consejo general.
- Un centro docente o una Universidad
- Un operador de telecomunicaciones y comunicaciones electrónicas, cuando trate habitual y sistemáticamente datos personales a gran escala.
- Un prestador de servicios de la sociedad de la información cuando elabore a gran escala perfiles de los usuarios del servicio.
- Una entidad de crédito o un establecimiento financiero de crédito
- Una entidad aseguradora o reaseguradora.
- Una empresa de servicios de inversión, regulada por la legislación del Mercado de Valores.
- Una empresa distribuidora o comercializadora de energía eléctrica o de gas natural.
- Una entidad responsable de “ficheros de morosos”
- Una entidad responsable de los ficheros comunes para la gestión y prevención del fraude, incluyendo a las empresas responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Una entidad desarrolle actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleve a cabo tratamientos basados en las preferencias de los afectados o realice actividades que impliquen la elaboración de perfiles de los mismos.
- Un centro sanitario legalmente obligado al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que ejerzan su actividad a título individual.
- Una entidad que tenga como uno de sus objetos la emisión de informes comerciales de personas físicas.
- Un operador del juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Si tu empresa no se encuentra enmarcada entre las anteriores, no estarás obligado a designar un DPO, aunque podrás hacerlo de forma voluntaria, como medida proactiva para garantizar el cumplimiento de la normativa vigente y que, además, supone un atenuante ante una posible sanción, tal y como especifica el artículo 76.1.g) de la LOPDGDD.
Se debe destacar que el DPO constituye un medio para la resolución amistosa de reclamaciones y actuará como interlocutor de la organización ante la AEPD.
¿El DPO debe ser interno o puede ser externo?
La normativa habilita a las organizaciones a la designación del DPO internamente, o bien externalizar la figura, en el marco de un contrato de servicios.
El DPO interno, será una persona en plantilla, con dedicación completa o compatibilizando otras funciones, con conocimientos y experiencia en materia de protección de datos, que deberá tener independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses, como pueden ser los cargos de Dirección General, Director de Operaciones, Departamento Legal, Director Financiero, Director de Marketing, Director de Recursos Humanos o Director de TI, etc.
La empresa deberá respaldar al DPO, facilitando los recursos necesarios para ejercer sus funciones, permitiéndole el acceso a la información que precise y garantizando su independencia.
El DPO no tiene responsabilidad a título personal y no podrá ser sancionado ni removido, salvo en casos de dolo o negligencia grave.
La problemática que supone para las organizaciones encontrar una persona que cumpla todos los requisitos anteriores y que sobre todo no presente un conflicto de intereses, conlleva a que la solución más efectiva sea externalizar esta figura, mediante la contratación de un DPO Externo.
Entre las ventajas de contratar un DPO externo, podemos destacar las siguientes:
- El servicio es prestado por profesionales expertos en la materia, con una metodología probada y práctica en diferentes sectores profesionales.
- La actualización constante de las prácticas (nuevas sanciones, informes jurídicos, etc.)
- Eliminación de la problemática presentada por el Conflicto de Intereses.
- Visión objetiva y global con respecto al cumplimiento normativo.
- El coste del servicio está fijado contractualmente
¿Qué funciones tendrá el DPO?
Para decidir qué figura de DPO es la más adecuada para tu empresa, resumimos las funciones más destacadas y quizá ayuden en tu decisión:
- Actuar como interlocutor ante la AEPD y ante los ciudadanos o afectados
- Informar y asesorar sobre las obligaciones en los tratamientos de datos de carácter personal que realice la empresa
- Supervisar el cumplimiento de la normativa y de las políticas internas de la empresa
- Asesorar en la realización de Evaluaciones de Impacto
- Documentar las posibles vulnerabilidades que aprecie en materia de protección de datos y comunicarlas a la Dirección.
En definitiva, el DPO deberá contar con la debida cualificación y formación, así como estar informado de las nuevas actividades e iniciativas que surjan en la organización y que impliquen el tratamiento de datos personales para poder llevar a cabo sus funciones.
Ya me he decido, ¿y ahora qué?
Una vez que tu empresa haya tomado la decisión de nombrar un DPO Interno o uno Externo, o incluso una fórmula mixta, deberás proceder a comunicar a la AEPD este nombramiento en un plazo máximo de 10 días. Además, deberás publicar sus datos de contacto, por ejemplo, en tu página web.
Por cierto, si estás pensando en qué pasaría si aun siendo sujeto obligado, decidieras no designar un DPO, debes saber que este incumplimiento supone una infracción grave conforme al artículo 73.v) de la LOPDGDD. Misma infracción que interferir en sus funciones, no respaldarlo o no permitir su participación en todas las cuestiones relativas a la protección de datos personales en la organización.
En cuanto a la no publicación de los datos del DPO o la no comunicación a la AEPD de su designación, se considera una infracción leve conforme al artículo 74.p) de la LOPDGDD.
Por último, si quieres consultar el listado de DPOs notificados ante la AEPD, puedes hacerlo a través de su Sede Electrónica.
Johanna Álvarez
Departamento Legal