En la actualidad, las normas relativas a la Protección de Datos han introducido una serie de obligaciones tanto para empresas como para particulares. En este artículo vamos a tratar sobre una de esas obligaciones que tienen ciertas empresas que tienen que nombrar a un delegado de protección de datos para su negocio.
El culpable de esta nueva figura es el Reglamento General de Protección de Datos (RGPD) que introdujo en España la nueva figura del Delegado de Protección de Datos (DPD).
Básicamente el Delegado de Protección de Datos cumpla tres funciones:
- Asesorar a la empresa y a sus usuarios en materia de Protección de Datos.
- Auditar en esta materia.
- Mediar en caso de que exista un conflicto, supervisando si la empresa cumple y atiende las reclamaciones de los usuarios o de la AEPD.
El delegado de Protección de Datos puede ser una persona de la propia empresa o bien contratar DPO externo. Como veremos a lo largo de este artículo, cada tiene sus propias ventajas e inconvenientes.
¿Qué es un Delegado de Protección de Datos y cuáles son sus funciones?
La aprobación y la entrada en vigor del RGPD supuso la creación de una nueva figura en materia de Protección de Datos: el Delegado de Protección de Datos (DPD).
En nuestro país (España) no existía esta ocupación a nivel empresarial ni una figura similar; tiendo la nueva normativa que desarrollar tanto las funciones de este cargo empresarial como establecer cuándo es necesario nombrar a un delegado de protección de datos para tu negocio.
El DPD es el encargado de vigilar y supervisar que una empresa u organización cumple con las obligaciones establecidas en materia de Protección de Datos.
Para ello, no sólo vigila y supervisa; sino también tiene la obligación de asesorar a la empresa para que cumpla con sus obligaciones en esta materia y; además, ayudarla a cumplir con estos deberes.
El elemento esencial de la Protección de Datos es la confidencialidad por parte de la empresa respecto a los datos personales que maneja; tanto de sus clientes, como de los proveedores, empelados y colaboradores. Y el segundo elemento fundamental es que esos datos únicamente pueden ser usados con la finalidad que fueron recogidos.
Delegado de Protección de Datos: El Sistema de Fuentes
Como asesores jurídicos que somos, nos gusta abordar siempre los temas indicando las fuentes jurídicas que regulan el tema que estamos abordando.
Para el Delegado de Protección de Datos o DPD tenemos indicar que en el Reglamento General de Protección de Datos (RGPD) tenemos que indicar que este documento normativo no aclara con detalle qué entidades están obligadas a designar un DPD.
Este Reglamento de la Unión Europea tan sólo señala una serie de directrices generales (artículo 37) de esta figura. Según esta norma europea, sólo necesitarían nombrar un DPD las Administraciones Públicas y un reducido número de empresas:
- Aquellas empresas que se dedican a la observación sistemática de personas por medios físicos (videovigilancia).
- Empresas de informática (plataformas digitales o empresas de marketing están incluidas al supervisar el comportamiento de los usuarios).
- Hospitales.
- Si realizan tratamiento de datos de localización de menores.
- Y otras entidades que tratan datos sensibles «a gran escala».
Sin embargo, la Ley Orgánica de Protección de Datos española (LOPD) arroja cierta información sobre que entidades encierran este concepto jurídico de «gran escala»; aunque todavía este concepto jurídico encierra ciertas dudas en muchos supuestos.
Gracias a la LOPD, el concepto de datos sensibles «a gran escala» afecta a un número de empresas mayor que lo que señala el RGPD; incluyendo a muchas PYMES y autónomos según la actividad económica que desarrollen en sus negocios.
El volumen de facturación y el tamaño de la empresa no son factores a determinar para que sea obligatorio nombrar un delegado de protección de datos para ese negocio.
Listado de empresas que en España deben nombrar un delegado de protección de datos
- Centros docentes (escuelas infantiles, colegios, universidades…).
- Colegios profesionales.
- Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
- Empresas de telecomunicaciones, empresas de la información, compañías de energía, electricidad y gas.
- Entidades bancarias, responsables de ficheros de morosos, entidades de crédito, compañías de seguros y empresas de servicios de inversión. Incluido quien gestione las sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca. Asimismo, las Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
- Promotores inmobiliarios, APIs y agencias inmobiliarias.
- Notarios y registradores.
- Auditores de cuentas, contables externos y asesores fiscales, abogados, procuradores u otros profesionales jurídicos.
- Galerías de arte y anticuarios, joyeros, depósito, custodia o transporte de fondos o medios de pago.
- Casinos, operadores de juego online, Loterías y otros juegos de azar.
- Fundaciones y asociaciones.
- Agencias de publicidad (cuando elaboren perfiles de los usuarios) y entidades que realicen informes comerciales de personas físicas.
- Empresas de seguridad privada.
- Federaciones deportivas (cuando traten datos de menores de edad).
¿Si no me encuentro en esta lista, no tengo que nombrar a un Delegado de Protección de Datos para mi empresa?
En caso de que tu negocio o empresa no esté incluido en esa lista no estás obligado a designar un DPD. Pero, dependiendo del tipo de datos que manejes, sí es recomendable hacerlo.
En ciertas ocasiones, es recomendable que nombres un DPD para que te ayude con el cumplimiento de la ley y; de este modo previenen posibles sanciones en materia de Protección de Datos si vulneras alguna de tus obligaciones en esta materia. Por ejemplo, si eres un psicólogo autónomo, en principio, no estás obligado por ley; pero si gurdas los historiales clínicos debes de designar a un DPD.
Sea como sea, siempre es bueno contratar los servicios de empresas que se dedican fundamentalmente a esta materia, como Busines Adaptar una empresa de LOPD Valencia. Estas empresas especializadas te ayudarán a analizar los riesgos que pueden derivarse del tratamiento realizado y; a adoptar las medidas necesarias para prevenir posibles riesgos. Aunque nunca debes descuidar los consejos de tus asesor jurídico o abogado que conozca estos temas; pues da una perspectiva más amplias e los repercusiones que puedas tener en un futuro.
¿Cómo realizo el nombramiento?
Una vez que tienes claro si tu empresa debe o no designar a un Delegado de Protección de Datos, este nombramiento debe comunicarse a la AEPD y a los afectados por los tratamientos. Todos los afectados (clientes, proveedores…) deben recibir un comunicado sobre el nombramiento de un DPD para que puedan dirigirse a él en caso de que entiendan que se han infringido sus derechos.
¿Cuáles son las Funciones del Delegado de Protección de Datos?
Cómo hemos recogido anteriormente las funciones del Delegado de Protección de Datos son las siguientes:
- Supervisar el cumplimiento de la normativa de la Protección de Datos por parte de la empresa.
- Formar al personal laboral para que éste cumpla también con la normativa.
- Asesorar e informar tanto a la empresa como a los clientes, colaboradores y proveedores de sus derechos y de sus obligaciones en esta normativa.
- Garantizar la conservación de la documentación sobre Protección de datos.
- Supervisar la seguridad de la empresa.
- Mediar en caso de conflicto.
- Encargar la destrucción de ficheros que vulneren la intimidad de personas o que ellos soliciten su retirada.
¿El DPD tiene Responsabilidad Civil?
En principio el DPD no puede ser sancionado ni por la AEPD ni por el responsable o encargado del tratamiento que le haya nombrado.
En caso de sanciones por vulnerar la materia de Protección de Datos el responsable será la empresa.
El DPD debe realizar sus funciones con independencia y autonomía, sin estar sometido a ningún tipo de instrucción y; tiene la obligación del secreto profesional en el ejercicio de sus funciones.
En caso que incurra en infracciones, solo debe rendir cuentas ante los responsables o gerentes de la empresa.
Si se trata de un trabajador, podrán colocarle sanciones disciplinarias. En caso que sea un DPD externo podrá retirar sus servicios. Si el DPD es el propio empresario (ocurre con bastante frecuencia en pequeños negocios y en autónomos), lógicamente tiene que rendir cuenta a sí mismo.
¿Puedo nombrar Delegado de Protección de Datos a cualquier trabajador?
No. Para nombrar a un DPD para tu empresa, debes asegurarte que esa persona cuenta con una serie de conocimientos y habilidades:
- Debe tener conocimientos jurídicos en materia de protección de datos.
- También se le exige un mínimo de conocimientos informáticos.
- Es aconsejable que tenga cierta experiencia en materia de Protección de datos.
- Lógicamente tiene que saber leer y escribir.
- Debe tener ciertas capacidades laborales como saber trabajar en equipo, habilidad para clasificar y guardar la documentación…
- Es aconsejable que sea meticuloso, organizado, observador y un buen orador.
- Y, además, es necesario que el DPD tenga una adecuada cualificación profesional para ejercer sus funciones y lo demuestre a través. Para ello, la AEPD ha elaborado un esquema de Certificación de DPD que es una formación para esas personas que cumplan con esta función para que desempeñen bien su puesto de trabajo. Aunque esa certificación no es obligatoria para realizar las funciones de un DPD; sí es recomendable que la haya cursado para garantizar que la empresa a la que representa cumple con sus funciones.
¿Cuánto cuesta contratar un DPD?
Lamentablemente no podemos colocar una tarifa de precios de un Delegado de Protección de datos pues eso depende de si vas a contratar a un DPD externo o es una persona contratada en plantilla (interna); así como del volumen o tipo de datos que maneja la empresa
Si el DPD se contrata de manera externa, la tarifa puede ser mensual, trimestral, semestral o anual. Las empresas que se dedican a este tipo de tratamiento, deben hacer un presupuesto personalizado para ese tipo de negocio según las circunstancias empresariales. Por su parte, si decides contratar a un DPD interno cuya única ocupación sea esa, tendrías que pagarle un salario. Y si este DPD es un trabajador que cuenta ya con otras ocupaciones, la retribución por su nombramiento debe ser mayor.
¿Es el Delegado de Protección de Datos (DPD) un defensor del cliente o ciudadano?
No. El DPD es únicamente una figura laboral al que pueden acudir los titulares de los datos personales para plantearle cualquier cuestión relativa al tratamiento de sus datos; así como ejercer sus derechos, reclamar o solicitar indemnizaciones…
No obstante, en caso de conflicto, deberá denunciar a la empresa. La defensa de los derechos en esta materia es llevada a cabo por los abogados que es precisamente el colectivo que tiene la función de defender a los ciudadanos en cualquiera de sus derechos o bienes jurídicos vulnerados.
Espero que este extenso artículo te haya aclarado qué es un delegado de Protección de Datos y tenga más claro cuando nombrar a un DPD para tu negocio o empresa. No olvide que como asesor jurídicos estamos encantados de asesorarle en cualquier materia, incluida la Ley de Protección de Datos.
Enrique Ruiz Prieto
¡Hola! Soy abogado, consultor jurídico de empresas y asesor fiscal y laboral. Amo los viajes, las historias y las narraciones, la tecnología, la justicia social y el emprendimiento. Si te gustan estos temas, te invito a quedarte y leer mi blog, donde te enseñaré a comprender el apasionante mundo del derecho y el funcionamiento de las tecnológicas digitales.
