Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

DPD o DPO, el Delegado de la Privacidad

Fecha de publicación 10/07/2018
Autor
INCIBE (INCIBE)
DPD o DPO, el Delegado de la Privacidad

Desde el 25 de mayo es obligatorio el cumplimiento del RGPD, el Reglamento General de Protección de Datos, la normativa europea que armoniza las anteriores normativas de privacidad de los países de la UE con el objetivo de crear un marco de confianza para que pueda desarrollarse un mercado único digital. Esta normativa tiene su reflejo en la forma en la que las empresas han de abordar la ciberseguridad, tanto en su vertiente técnica como organizativa. Pero, ¿sabemos cómo se reparten las responsabilidades para su cumplimiento?

En un artículo anterior «Tu plan director de seguridad es esencial para cumplir el RGPD» veíamos qué es la privacidad y los riesgos a los que se expone en los tratamientos que se realizan con los datos personales en las empresas. También detallábamos en qué medida implantar un plan para la gestión de la seguridad colabora al cumplimiento del RGPD. Son muchas las sinergias que el Plan Director de Seguridad tiene con la privacidad y por tanto con el RGPD. Su papel es indispensable en la organización de la seguridad, en la gestión de incidentes y en la aplicación de medidas de seguridad.

¿Quién es quién en el RGPD?

Recordamos que el responsable del tratamiento de datos en el RGPD es «la persona física o jurídica […] que sólo o junto con otros, determine los fines y medios del tratamiento; […]», es decir, la empresa, el autónomo o la persona que realiza una actividad comercial o profesional. Es el que rendirá cuentas ante posibles incidentes.

El encargado del tratamiento es «la persona física o jurídica […] que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del tratamiento.» En este caso, podemos imaginar que es la empresa a la que se le «encarga» por ejemplo, la gestión de nóminas o el alojamiento o el tratamiento informático de los datos personales de clientes.

La relación entre responsable y encargado debe formalizarse en un contrato o acto jurídico vinculante. Se han de seguir las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento que ofrece la AEPD que incluye un ejemplo de cláusulas contractuales que este contrato debe contener.

Ya en el Reglamento de desarrollo de la LOPD (Art. 109 y 95) se exigía en algunos casos (medidas de seguridad de nivel medio o alto) que se designara uno o varios Responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad aunque la responsabilidad seguía recayendo sobre el responsable del tratamiento. Esto afectaba, por ejemplo, a sectores como finanzas, entidades de crédito, mutuas, empresas que evalúan la personalidad o el comportamiento de las personas o las que ofrecen servicios de comunicaciones públicas. También las que traten con datos de la administración como infracciones administrativas o penales y las Entidades gestoras y servicios comunes de la Seguridad Social.

Con el RGPD aparece una nueva figura que sólo será necesaria para algunas empresas, el DPD o Delegado de Protección de Datos, también conocido como DPO por sus siglas en inglés. Las empresas que nombren un DPD externo tendrán que firmar con él un contrato como harían con el encargado.

Delegado de Protección de Datos.

¿Qué funciones tendrá el Delegado de Protección de Datos?

El DPD es un profesional cuyas funciones se señalan en el artículo 39 del Reglamento (UE) 679/2016, y se ocupa de la aplicación de la legislación sobre privacidad y protección de datos.

Según este artículo del RGPD:

¿Qué empresas deben nombrar un DPD?

No todas las empresas tienen obligación según el RGPD de nombrar un DPD (Artículo 37). Las que sí lo tienen podrán contratarlo para formar parte de su equipo o contratar sus servicios externamente.

En las empresas, es obligatorio nombrar un DPD por los responsables y encargados de tratamientos cuyas actividades principales consistan en:

  • operaciones de tratamiento que requieran una observación habitual y sistemática de personas a gran escala; o
  • tratamiento a gran escala de datos de categorías especiales.

El proyecto de Ley Orgánica de Protección de Datos de Carácter Personal especifica los tipos de empresas (art. 34-37) que tendrán que nombrarlos de forma obligatoria. De forma esquemática:

  • colegios profesionales,
  • centros docentes y Universidades,
  • entidades que exploten redes de comunicaciones si tratan datos a gran escala,
  • prestadores de servicios de la sociedad de la información que elaboren perfiles,
  • entidades de crédito y establecimientos financieros, entidades aseguradoras y reaseguradoras,
  • empresas de servicios de inversión,
  • distribuidores y comercializadores de energía eléctrica y de gas natural,
  • entidades de evaluación de solvencia patrimonial y de crédito o prevención de fraude,
  • entidades que desarrollan publicidad y prospección comercial si elaboran perfiles o tratamientos basados en preferencias de los afectados,
  • centros sanitarios obligados legalmente a mantener historias clínicas,
  • entidades que emitan informes comerciales relativos a personas físicas,
  • operadores de juegos online y empresas de seguridad privada.

Los grupos empresariales podrán nombrar un único DPD siempre que esté accesible desde todos los establecimientos del grupo.

Las empresas cuyos responsables y encargados no estén obligadas a nombrar un DPD podrán nombrarlo y también podrán asociarse u organizarse por categorías para designar uno y para que les represente.

Pero… ha de ser independiente y sin conflicto de intereses

El responsable o encargado del tratamiento designa al DPD, publica sus datos de contacto y los comunica a la autoridad de control, es decir, a las AEPD y sus homólogas.

El DPD puede ser empleado o externo, a tiempo parcial o completo, pero tiene que ser independiente en sus funciones, ya que no pueden destituirle ni sancionarle por desempeñarlas y le han de respaldar (facilitándole recursos y acceso) y garantizar que pueda participar, sin recibir instrucciones, en las cuestiones relativas a la protección de datos personales. Aunque puede realizar otras funciones, debe evitar cualquier conflicto de intereses.

¿Tienes ya un DPD? Si eres una de las empresas «elegidas» designa a un DPD y firma con él un contrato donde quede clara su independencia y la ausencia de conflicto de intereses.