Servicio de Delegado de Protección de Datos o Data Protection Officer (DPO)

¿Crees necesario contratar un servicio de delegado DPD (Delegado de Protección de datos? Esta figura, también conocida por su terminología inglesa -Data Protection Officer (DPO)-, va cobrando importancia de forma exponencial en cualquier tipo de empresa u organización por su creciente exigencia y por el tiempo de dedicación que conlleva cumplir con sus obligaciones.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales en su art. 34 de la LOPDGDD, donde indica que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

También habrán de designarlo cuando así lo establezca el derecho de la Unión Europea o de los Estados Miembros de la Unión Europea. Esta figura también puede ser designada de manera voluntaria por cualquier entidad que no se encuentre dentro de estos supuestos, para ayudar en el cumplimiento de la normativa.

Contratar a un DPD para la LOPD

Organizaciones, empresas o entidades obligadas a cumplir con la LOPDGDD

Además, la LOPDGDD especifica las instituciones y entidades (y actividades a las que se dedican) las cuales también serán objeto de dicha obligación:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, así como establecimientos financieros de crédito, aseguradoras y reaseguradoras y empresas de servicios de inversión reguladas por la normativa que legisla el Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo, tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan:

  • Los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Contratación del DPO externo.

La ley permite que el DPO pueda ser una entidad jurídica, por ello G|R|A CONSULTORES ofrece un servicio de DPO externo, poniendo a disposición de las organizaciones un equipo de consultores con una gran especialización en protección de datos, y un conocimiento profundo de la problemática de los sectores más críticos (enseñanza, salud, seguros, administraciones públicas, marketing, etc.).

Nombramiento del Delegado de Protección de Datos DPD

¿Cómo se nombra un delegado de LOPD? El nombramiento del Delegado de Protección de Datos lo realizará el Responsable o el Encargado del tratamiento. Su identidad será comunicada a la autoridad de control (Agencia Española de Protección de Datos) y al público en general ya que, los interesados tienen la posibilidad de ponerse en contacto directo con el Delegado de Protección de Datos para consultar cualquier consulta referida al tratamiento de sus datos personales o llevar a cabo los derechos que les corresponda.

Obligaciones del Delegado de Protección de Datos DPD

El desempeño de funciones de los delegados de protección de datos en su trabajo diario viene determinado por la Ley vigente (RGPD, LOPD, LSSI) como obligaciones de un DPD.

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que indica el Reglamento General de Protección de Datos (RGPD),
  • Supervisar el cumplimiento de la normativa y otras disposiciones relativas a la de protección de datos y las auditorías correspondientes
  • Concienciación y formación del personal que participa en las operaciones de tratamiento.
  • Colaborar en evaluación de impacto relativa a la protección de datos y supervisar su aplicación
  • Cooperar con la autoridad de control y actuar como punto de contacto entre la misma y la empresa
  • El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Posición del Delegado de Protección de Datos DPD

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Los interesados podrán ponerse en contacto con el delegado de protección de datos asignado por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

Siempre y en todo caso, el delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Servicios de Delegado de Protección de Datos externo DPD

G|R|A CONSULTORES les ofrece el servicio de DPD externo con el fin de adaptar el tratamiento de

información del cliente al cumplimiento del RGPD y LOPDGDD y su normativa de desarrollo. En concreto, los trabajos a llevar a cabo por G|R|A CONSULTORES son:

  1. Planificación anual de actuaciones.
  2. Estudio de bases de legitimación de las actividades de tratamiento.
  3. Evaluación y documentación del impacto en privacidad en proyectos que impliquen tratamientos de datos. Privacidad desde el diseño.
  4. Relación con los encargados de tratamiento (Redacción Contratos y seguimiento).
  5. Informes de cumplimiento.
  6. Soporte continuo (Repositorio de consultas, documentación, generación de informes…)
  7. Propuesta y programación de auditorías.
  8. Actualización del registro de actividades de tratamiento.
  9. Análisis de Riesgos y propuestas de controles y medidas de seguridad para mitigar los riesgos.
  10. Asistencia legal a las organizaciones ante inspecciones de la Agencia Española de Protección de Datos.
  11. Asistencia para dar respuesta a los ejercicios de derecho presentados por los usuarios.
  12. Comunicación de brechas de seguridad a la Agencia Española de Protección de Datos (AEPD).
  13. Fomentar la cultura de protección de datos en la organización. Acciones para la sensibilización del personal, concursos, píldoras formativas, campañas…

Solicita información

La cantidad de datos que manejamos diariamente es enorme y resulta esencial saber gestionar el tratamiento a gran escala, incluyendo categorías especiales de datos. Esto, unido a la necesidad de evitar condenas e infracciones penales, lleva a muchas empresas a confiar en profesionales todo lo relacionado con la materia de datos personales.

Despreocúpate para siempre confiando en profesionales con conocimientos especializados de Derecho, certificación en Protección de Datos y con años de experiencia. Si deseas conocer más sobre nuestros servicios de responsable o encargado del tratamiento de datos personales, no dudes en contactar con G | R | A Consultores.