El Margen de la Ley :: El Blog de Audens
Audens >
Blog >
Protección de Datos >
El delegado de protección de datos

El delegado de protección de datos

Siempre he abogado por abordar el cumplimiento de la normativa de protección de datos como un elemento estratégico, ligado a la toma de decisiones dentro de la organización y enfocado a favorecer y aportar valor añadido al negocio. Un planteamiento, que además, permite cumplir dos de los principios clave del RGPD: la responsabilidad activa y la gestión de riesgos.

El pasado miércoles el Senado aprobó el proyecto de Ley Orgánica de Protección de Datos y de Garantías de los Derechos Digitales (LOPD-GDD), y con él un aspecto importante para el adecuado cumplimiento del Reglamento General de Protección de Datos (RGPD): la designación de un delegado de protección de datos (DPD o DPO por sus siglas en inglés). De acuerdo con la norma europea, sus funciones se pueden dividir en tres vertientes:

  • Informar, asesorar y supervisar el cumplimiento de las las obligaciones que impone el RGPD a su empresa.
  • Formar y concienciar a la dirección y a los empleados sobre esta materia.
  • Cooperar con la Agencia Española de Protección de Datos (AEPD) y actuar como punto de contacto con ella.

Gracias a nuestro legislador nacional, las ventajas de nombrar un delegado de protección de datos se incrementan notablemente, hasta el punto de servir de primer parapeto en caso de procedimiento sancionador; y es que la AEPD, en caso de recibir una denuncia de un interesado, podrá remitirla directamente al DPD para que éste trate de resolver el conflicto, evitando así abrir procedimiento sancionador. Aparte de la descarga de trabajo para la administración pública que ello supone (una jugada magistral para que sea el sector privado quien asuma parte de su trabajo), lo cierto es que es una forma fantástica de que convertir el DPD en un perfil más útil y necesario para las empresas.

Su labor, por tanto, será crucial en empresas y entidades que empleen los datos personales para generar valor; pero también delicada, pues tendrá que encajar el desarrollo del negocio con una legislación compleja, que se ve modelada continuamente por los criterios de las autoridades de control y las directrices del Comité Europeo de Protección de Datos. Como he dicho en otras ocasiones, tanto el RGPD como su entorno normativo y aplicativo son tan complejos, que aunque el DPD no fuera obligatorio, sería necesario en muchos casos.

Pero, ¿quiénes deben nombrar un delegado de protección de datos? Como ya hemos tratado en el blog en otras ocasiones, el RGPD no es precisamente claro a la hora de definir quienes están obligados a nombrar un DPD: simplemente aporta criterios, basados en la naturaleza, alcance y/o fines del tratamiento, o en conceptos indeterminados como la “observación habitual y sistemática de interesados a gran escala” dentro de las actividades principales del responsable, o el tratamiento “a gran escala de categorías especiales de datos”. Ahí es nada.

En cambio, la nueva LOPD sí aporta más de claridad, pues establece que, en todo caso, determinadas actividades habrán de nombrar un DPD: por ejemplo, clínicas y centros sanitarios (pero no cuando sean profesionales  individuales); aseguradoras, financieras y bancos; centros educativos, como colegios y universidades… pero también las empresas de juego online, las agencias de publicidad y marketing (cuando leven a cabo tratamientos basados en las preferencias de los afectados o elaboren de perfiles de los mismos), las redes de afiliación, o aquellas empresas digitales -comercios electrónicos, redes sociales, proveedores de contenidos online o cualquier otra actividad en Internet- que traten habitual y sistemáticamente datos personales a gran escala.

No se puede entender hoy día casi ningún negocio sin que explote de alguna manera datos personales; y cuantos más tratamientos se hagan, más categorías o tipos de datos (identificativos, económicos, de salud, de comportamiento…) se empleen, a más personas afecten o se utilicen tecnologías cada vez más disruptivas para llevarlos a cabo, mayor necesidad de prevención y control interno se habrá de tener, y más fácil será caer situaciones de riesgo elevado de incumplimiento. Por todo ello, entiendo absolutamente necesario que quienes traten datos de carácter personal, cuenten con expertos en privacidad en su día a día. Así, bien sea como delegado de protección de datos, o como abogado o asesor externo, se debe contar con profesionales cualificados y especializados, especialmente habida cuenta del riesgo que puede suponer no hacer las cosas bien y sus consecuencias. Y a partir de ahora, con la nueva LOPD, ya se acabaron las excusas.

Toca volver a revisar la obligatoriedad o necesidad de contar con estos perfiles y abanderar el cumplimiento de la protección de datos como un valor añadido, una confianza para unos interesados, clientes y usuarios, cada vez más conocedores de sus derechos y más preocupados por hacerlos valer frente a las intromisiones en su esfera personal, que detectan y denuncian con cada vez más frecuencia.

¿Te ha resultado interesante?
Estamos especializados en adecuar la operativa de las empresas al nuevo Reglamento General de Protección de Datos de la Unión Europea.

Deja un comentario

Todos los campos son obligatorios. Trataremos tus datos únicamente gestionar la publicación de tu comentario y responder a las sugerencias o peticiones que, en su caso, nos realices. Tu dirección de email no será publicada. Puedes, en todo momento, retirar el consentimiento para el tratamiento de tus datos, así como ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, escribiéndonos a . Más información en nuestra política de privacidad.

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales.