A menudo oímos hablar sobre el responsable y el encargado del tratamiento de datos, así como del Delegado de Protección de Datos (DPD). Las funciones de cada una de estas figuras son diferentes e implican diferentes responsabilidades:

  • El responsable del tratamiento de los datos es aquella persona física o jurídica, de naturaleza pública o privada, o bien el órgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento de los datos personales.
  • Por su parte, el encargado es la persona física o jurídica o el órgano administrativo que realiza el tratamiento de los datos por cuenta del responsable. Para ello, debe haber una relación jurídica vinculante que delimite el ámbito de actuación. La designación del encargado por parte del responsable debe estar basada en la búsqueda de garantías de que éste aplicará las medidas técnicas y organizativas necesarias para el cumplimiento del Reglamento General de Protección de Datos (RGPD)

No obstante, el nuevo Reglamento General de Protección de Datos prevé una serie de obligaciones del encargado, que no tienen por qué estar registradas contractualmente:

  • Mantener un registro de actividades de tratamiento.
  • Establecer las medidas de seguridad a aplicar.
  • Designar a un DPD (Delegado de Protección de Datos) en los casos previstos por el propio Reglamento, y que detallamos más adelante en este mismo post.

Cuándo y cómo actúa el Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos debe operar con total autonomía, con capacidad para relacionarse con el nivel superior de la dirección y con el apoyo del responsable del tratamiento de datos.

El RGPD prevé la figura del DPD (Delegado de Protección de Datos), que debe operar:

  • Con total autonomía en el desempeño de sus funciones.
  • Con capacidad para relacionarse con el nivel superior de la dirección.
  • Con el apoyo del responsable o encargado del tratamiento de datos, quien deberá proveerle de los recursos que pudiera necesitar.

El DPD es una figura obligatoria en una serie de casos específicos:

  • Autoridades y organismos públicos.
  • Responsables o encargados cuyas operaciones de tratamiento de datos requieran una observación habitual o supongan el tratamiento a gran escala de datos sensibles.

No obstante, no es necesario que se trate de una figura interna de cada organización:

  • Cabe la posibilidad de nombrar un DPD único para todo un grupo empresarial, siempre y cuando sea accesible desde cada uno de los establecimientos del grupo.
  • El DPD puede trabajar a tiempo completo o parcial.
  • Así mismo, es posible establecer tanto una relación laboral, como de prestación de servicios entre el DPD y los responsables o encargados del tratamiento de datos.

Cómo seleccionar a tu DPD

El DPD debe reunir una serie de capacitaciones y cualificaciones profesionales que combinen:

  • El conocimiento de la legislación y la práctica de la protección de datos.
  • El conocimiento de la tecnología aplicada al tratamiento de datos.
  • Otras habilidades que afecten al desempeño de su tarea.

Vale la pena destacar que la AEPD (Agencia Española de Protección de Datos) ha promovido un sistema de certificación de profesionales de protección de datos, para crear una certificación oficial y facilitar la identificación de candidatos idóneos para este tipo de puesto. No obstante, esta certificación no es obligatoria.
Una vez designado, los datos del DPD deben ser publicados y puestos en conocimiento de la autoridad de protección de datos competente.

dpd