4.1 Delegado de protección de datos (DPD)aepd

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
  •  

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala, en su artículo 34, que los responsables y encargados del tratamiento deberán designar, en todo caso, un delegado de protección de datos cuando se trate de las siguientes entidades:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles¿de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  13. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  14. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  15. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  16. Las empresas de seguridad privada.
  17. Las federaciones deportivas cuando traten datos de menores de edad.

 

Los responsables o encargados del tratamiento no incluidos en la relación anterior podrán designar de manera voluntaria un delegado de protección de datos.

 

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

 

Podrá consultar toda la información sobre cómo llevar a cabo la comunicación del DPD ante la Agencia en el siguiente enlace.

Estos criterios, que hemos mencionado en la anterior pregunta-respuesta, deben ser tenidos en cuenta a la hora de nombrar a un delegado de protección de datos (DPD), y se interpretan de la siguiente forma:

Actividades principales

Las "actividades principales" pueden considerarse como las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, éstas no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento. Por ejemplo, el Grupo de Trabajo del artículo 29 dictamina que la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD.

 

Otro ejemplo sería el de una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está ligada de manera indisociable al tratamiento de datos personales. Por tanto, esta empresa debe también designar un DPD.

 

Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo. Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, normalmente se consideran funciones auxiliares y no la actividad principal.

 

Observación habitual y sistemática

La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de "observación del comportamiento de los interesados" se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental.

No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados. El Grupo de Trabajo del artículo 29 interpreta "habitual" con uno o más de los siguientes significados:

  • continuado o que se produce a intervalos concretos durante un periodo concreto;
  • recurrente o repetido en momentos prefijados;
  • que tiene lugar de manera constante o periódica. Respecto a la interpretación "sistemático":
  • que se produce de acuerdo con un sistema;
  • preestablecido, organizado o metódico;
  • que tiene lugar como parte de un plan general de recogida de datos;
  • llevado a cabo como parte de una estrategia.

 

Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

 

Gran escala

El RGPD tampoco define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación. De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo (según el Grupo de Trabajo del artículo 29), se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto. En cualquier caso, el citado Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

  • el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • la duración, o permanencia, de la actividad de tratamiento de datos;
  • el alcance geográfico de la actividad de tratamiento. Como ejemplos de tratamiento a gran escala cabe citar:
  • el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
  • el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
  • el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
  • el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
  • el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
  • el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
  • Como casos que no constituyen tratamiento a gran escala cabe señalar:
  • el tratamiento de datos de pacientes por parte de un solo médico;
  • el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

La propia organización.

 

El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un delegado de protección de datos (DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí).

 

Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

Las funciones del Delegado de Protección de Datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
  • Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
  • Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

Sí. El artículo 37, apartado 2, del RGPD permite a un grupo empresarial designar un único delegado de protección de datos (DPD), siempre que este "sea fácilmente accesible desde cada establecimiento".

 

La noción de accesibilidad se refiere a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la organización, teniendo en cuenta que una de esas tareas es "informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento".

 

Con el fin de garantizar que el DPD, ya sea interno o externo, sea accesible, es importante asegurarse de que sus datos de contacto están disponibles de conformidad con los requisitos del RGPD. El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control. Esto significa también que dicha comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de control y los interesados afectados.

 

La disponibilidad de un DPD (ya sea físicamente en las mismas instalaciones como empleado, ya sea en línea o mediante otros medios seguros de comunicación) es fundamental para garantizar que los interesados puedan contactar con el DPD.

Sí. La función del delegado de protección de datos (DPD) puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.

 

En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de intereses.

 

Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.

 

Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz. El Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección de Datos) ha dictaminado que, en aras de la claridad jurídica y a la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona "a cargo" de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.

El artículo 38, apartado 3, del RGPD establece algunas garantías básicas que contribuyen a asegurar que los delegados de protección de datos (DPD) puedan realizar sus tareas con el suficiente grado de autonomía dentro de su organización. En particular, los responsables o encargados del tratamiento están obligados a garantizar que el DPD "no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones".

 

El considerando 97 añade que los DPD «sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente». Esto significa que, en el desempeño de sus tareas con arreglo al artículo 39, no debe instruirse a los DPD sobre cómo abordar un asunto, por ejemplo qué resultado debería lograrse, cómo investigar una queja o si se debe consultar a la autoridad de control. Asimismo, no se les debe instruir para que adopten una determinada postura con respecto a un asunto relacionado con la ley de protección de datos, por ejemplo, una interpretación concreta de la ley.

 

No obstante, la autonomía de los DPD no significa que tengan poder para adoptar decisiones más allá de sus funciones, definidas con arreglo al artículo 39.

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos (DPD) "participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales".

 

Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos (de manera especial, en relación con las evaluaciones de impacto).

 

Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

 

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos), en consecuencia, la organización debe garantizar, por ejemplo, que:

  • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Que esté presente cuando se toman decisiones con implicaciones para la protección de datos (recordando que toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado).
  • Su opinión debe tenerse siempre debidamente en cuenta (en caso de desacuerdo, como buena práctica, es conveniente documentar los motivos por los que no se sigue el consejo del DPD).
  • Su consulta al DPD con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

 

Cuando sea pertinente, el responsable o el encargado del tratamiento podría elaborar directrices o programas sobre la protección de datos que determinen cuándo debe consultarse al DPD.

 

Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.

 

En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto.

Los medios han de ser suficientes para desarrollar su labor de forma efectiva.

 

En relación con el apoyo a su labor (con tal autonomía en el ejercicio de sus funciones y relacionándose con el nivel superior de la dirección) es obligatorio que el responsable del tratamiento facilite al DPD todos los recursos necesarios para desarrollar su actividad.

 

El artículo 38, apartado 2, del RGPD prevé que la organización respalde a su DPD "facilitando los recursos necesarios para el desempeño de [sus] funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados".

 

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos) deben tenerse en cuenta, en especial, los siguientes aspectos:

  • Apoyo activo a la labor del DPD por parte de la alta dirección (al nivel del consejo de administración).
  • Tiempo suficiente para que el DPD cumpla con sus funciones (lo cual es particularmente importante cuando se designa un DPD interno a tiempo parcial o cuando el DPD externo lleva a cabo la protección de datos de manera complementaria a otras obligaciones), y así evitar el conflicto entre prioridades, que podría dar lugar al descuido de las obligaciones del DPD.
  • Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.
  • Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
  • Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
  • Formación continua.
  • En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros.

 

En general, cuanto más complejas o sensibles sean las operaciones de tratamiento, más recursos deberán destinarse al DPD. La función de protección de datos debe desempeñarse con eficacia y dotarse con los recursos suficientes para el tratamiento que se esté realizando.

os delegados de protección de datos (DPD) no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.

 

La función del DPD de supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia.

 

El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar "medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento" (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.

 

En definitiva, el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.

El artículo 39, apartado 2, del RGPD requiere que el delegado de protección de datos (DPD) desempeñe sus funciones "prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento".

 

Dicho artículo recuerda un principio general (y de sentido común para el Grupo de Trabajo del artículo 29, actual Comité Europeo de Protección Datos), que puede ser pertinente para muchos aspectos del trabajo diario de un DPD, a saber: que éstos establezcan prioridades en lo que respecta a sus actividades y centren sus esfuerzos en las cuestiones que presenten mayores riesgos para la protección de datos. Esto no significa que deban desatender la supervisión de la observancia de las normas en las operaciones de tratamiento de datos que tengan comparativamente menos riesgos, sino que deben centrarse principalmente en los ámbitos de mayor riesgo.

 

Este enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

 

En resumen, la obligación de llevar a cabo el análisis de riesgos es del responsable y la función del DPD es asesorar al responsable en el cumplimiento de las obligaciones derivadas del RGPD pero el responsable podría disponer que una de las tareas de su DPD fuera la llevanza de los análisis de riesgos en protección de datos.

De conformidad con el artículo 35, apartado 1, del RGPD es labor del responsable del tratamiento y no del delegado de protección de datos (DPD) realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento de datos.

 

No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento "recabará el asesoramiento" del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de "ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35".

 

El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

  • si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
  • qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
  • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
  • qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.

En virtud del artículo 30, apartados 1 y 2, del RGPD es el responsable o el encargado del tratamiento, y no el delegado de protección de datos (DPD), quien está obligado a llevar "un registro de las actividades de tratamiento efectuadas bajo su responsabilidad" o a mantener "un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable".

 

En la práctica, puede llegar a ser frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización.

 

Esta práctica se ha establecido en virtud de muchas legislaciones nacionales vigentes y de las normas sobre protección de datos aplicables a las instituciones y organismos de la UE. El artículo 39, apartado 1, establece una lista de tareas mínimas de que debe encargarse el DPD.

 

Por lo tanto, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro, como medida efectiva de rendición de cuentas, debe considerarse una de las herramientas que permitan al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.