Què és un Delegat de Protecció de Dades o DPD/DPO?

Delegado Protección de Datos - DPD - PymeLegal

Aquesta figura, coneguda popularment com a DPD o DPO (per les seves sigles en anglès, Data Protection Officer), constitueix un dels elements claus del RGPD: és el garant del compliment de la normativa de la protecció de dades a les organitzacions.

Al Delegat de Protecció de Dades, que haurà de comptar amb coneixements especialitzats en  dret sobre protecció de dades i actuar de manera independent dins de les entitats on actua, se li atribueixen una sèrie de funcions regulades tant al RGPD (art. 39) com a la pròpia LOPDGDD (art. 34) i de les que destaquen el informar i assessorar a tots aquells responsables i encarregats de tractament, supervisar el compliment de l’esmentat RGPD per tots aquells que tracten les dades així com ser el punt de connexió entre les entitats i la pròpia Autoritat de Control (a Espanya, l’Agència Espanyola de Protecció de Dades).

Quan és necessari nomenar un DPD?

El Reglament Europeu estableix els casos en què és obligatòria aquesta figura, ja que no en totes les situacions en què es tracten dades és necessari. És obligatori quan:

  • les dades són tractades per una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial;
  • l’activitat principal del responsable o de l’encarregat consisteix en operacions de tractament que, degut a la seva naturalesa, abast i/o fins, requereixi una observació habitual i sistemàtica d’interessats a gran escala, o
  • l’activitat principal del responsable o de l’encarregat consisteixi en el tractament a gran escala de categories especials de dades o de dades personals relatives a condemnes i infraccions penals.

Així mateix, i en compliment del propi RGPD, la LOPDGDD amplia aquests supòsits i afegeix, com a obligats al nomenament d’aquesta figura a:  

  • els col·legis professionals i els seus consells generals,
  • els centres escolars reglats i universitats, tant públiques com privades,
  • les entitats que exploten xarxes i presten serveis de comunicacions electròniques,
  • les entitats i establiments financers de crèdit,
  • companyies asseguradores i reasseguradores,
  • les empreses de serveis d’inversió,
  • els distribuïdors i comercialitzadores d’energia elèctrica i gas natural,
  • les entitats responsables de fitxers que avaluen la solvència patrimonial i crèdit,
  • els responsables de fitxers regulats per la llei de prevenció del blanqueig de capitals,
  • les entitats que desenvolupen activitats de publicitat i prospecció comercial (quan les seves activitats impliquin elaboració de perfils),
  • els centres sanitaris obligats al manteniment de les històries clíniques dels pacients, (no així els que exerceixin aquesta activitat a títol individual),
  • els qui emetin informes comercials que puguin referir-se a persones físiques,
  • els desenvolupadors d’activitats de joc a través de canals electrònics, informàtics, telemàtics i interactius,
  • les empreses de seguretat privada i
  • les federacions esportives quan tractin dades de menors d’edat.

Si l’activitat de l’entitat no s’enquadra en cap d’aquests supòsits, aquesta organització pot, de manera proactiva (i complint així el principi d’Accountability o Responsabilitat Proactiva que marca el RGPD), nomenar un delegat de protecció de dades voluntàriament, i assegurar-se que la seva política de protecció de dades és adequada i compleix amb la normativa legal vigent.  

En cas d’estar obligat a tenir un DPD i no complir amb aquesta obligació, pot comportar importants sancions.

El nomenament d’un Delegat de Protecció de Dades sempre ha de comunicar-se a l’AEPD (enllaç per a la comunicació).

És important afegir que un grup empresarial pot designar un únic DPD, sempre que sigui fàcilment accessible per a cada departament. Si es nombra una persona interna com a DPD, s’haurà de tenir en compte, a més de la formació requerida, que la seva funció no suposi un conflicte d’interessos, com seria el cas dels directius o responsables informàtics. Si s’opta per delegar en una empresa externa aquesta figura, el més habitual, s’haurà de regular mitjançant contracte.

Quines funcions realitza el DPD?

Com a funcions del Delegat de Protecció de Dades es troben:

  • Informar i assessorar al responsable o encarregat de tractament i als empleats que s’ocupen del tractament sobre les seves obligacions en matèria de protecció de dades.
  • Supervisar el compliment del disposat al RGPD i altra normativa sobre protecció de dades.
  • Assignació de responsabilitats, conscienciació i formació del personal autoritzat al tractament de les dades de l’entitat.
  • Realització d’auditories de control.
  • Assessorar respecte a la realització de l’avaluació d’impacte.
  • Cooperar amb l’autoritat de control i ser el punt de contacte entre aquesta i l’entitat.
  • Proporcionar suport en la gestió de les bretxes de seguretat.
  • Atendre als interessats que es posin en contacte amb el DPD.

Un Delegat de Protecció de Dades rendirà comptes directament al més alt nivell jeràrquic del responsable o encarregat del tractament i no podrà rebre instruccions en el que respecta a l’acompliment d’aquestes funcions.

Ha d’estar certificat un DPD?

Tot i que la certificació no és obligatòria, el nomenament del DPD sempre haurà de realitzar-se tenint en compte les seves qualitats professionals i coneixements en normativa sobre protecció de dades, associada a l’acompliment de les seves funcions.

La certificació és voluntària i per obtenir-la és obligatòria la realització d’un examen oficial, justificar l’experiència prèvia o formació especialitzada en la matèria, segons l’Esquema de Certificació de Delegats de Protecció de Dades de l’AEPD i ENAC.

A l’equip de Pymelegal comptem amb Delegats de Protecció de Dades certificats segons aquest Esquema de Certificació per oferir-vos un millor servei de màxima qualitat.

Si teniu dubtes sobre si la vostra empresa necessita un DPD o voleu un pressupost per externalitzar aquest servei, restem a la vostra disposició.

L’Equip de PymeLegal