¿Necesito un Delegado de Protección de Datos?

¿Qué es un DPD?

El Delegado de Protección de Datos es una nueva figura que surge a raíz de la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD), aplicable desde el 25 de mayo de 2018. Puede ser un trabajador de la empresa o externo y su nombramiento debe comunicarse a la Agencia Española de Protección de Datos (AEPD).

El artículo 34.3 de la LOPDGDD exige que la comunicación debe realizarse en el plazo de 10 días desde su nombramiento.

¿Qué hace un DPD?

Sus funciones son las impuestas por el artículo 39 del RGPD. Destaca su función de asesoramiento al Responsable y sus empleados, así como la supervisión del cumplimiento emitiendo los informes que correspondan. También juega un papel fundamental de mediador con la AEPD y un afectado.

Ventajas de contar con un DPD

• Tranquilidad: en un entorno legal cambiante, delegar el cumplimiento normativo a un experto en protección de datos permite dedicar los recursos internos a los aspectos más estratégicos de la empresa sin perder foco en materia legal.

• Reputación y transparencia: cuando dispones de un DPD tu negocio transmite una imagen de seguridad y confianza tanto para tus clientes como ante otras empresas.

• Calidad: Cada vez más empresas exigen a sus proveedores contar con un DPD, cumplir este nuevo requisito te ayuda a competir en un mercado cada vez más exigente.

¿Quién está obligado a contar con un DPD según el RGPD y la LOPDGDD?

Según el RGPD (Reglamento UE 2016/679 General de Protección de Datos), -artículo 37.1 RGPD-

Autoridades u organismos públicos, excepto los tribunales que actúen en ejercicio de su función judicial.
Aquellas cuyas actividades principales consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
Aquellas cuyas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Según la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), -artículo 34.1 LOPDGDD-

Colegios profesionales y sus consejos generales.
Centros docentes, incluyendo Universidades públicas y privadas.
Centros sanitarios. No se incluyen profesionales de la salud que ejerzan a título individual, aunque sí están obligados a guardar el historial clínico de los pacientes.
Empresas que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten datos personales a gran escala de forma sistemática.
Prestadores de servicios de la información que elaboren perfiles de usuarios a gran escala.
Entidades de ordenación, supervisión y solvencia de entidades de crédito.
Establecimientos financieros de crédito.
Aseguradoras y reaseguradoras.
Empresas que ofrecen servicios de inversión, reguladas por la legislación del Mercado de valores.
Distribuidores y comercializadores de energía eléctrica y gas natural.
Entidades responsables de ficheros relacionados con la solvencia patrimonial, prevención del fraude, blanqueo de capitales o financiación del terrorismo.
Compañías que desarrollen actividades de publicidad y prospección comercial, cuando realicen evaluaciones de perfiles de usuarios y lleven a cabo tratamientos basados en las preferencias de los mismos.
Entidades que emitan informes comerciales sobre personas físicas.
Operadores de juegos y apuestas que desarrollen su actividad a través de canales electrónicos, informáticos, telemáticos e interactivos.
Empresas de seguridad privada.
Federaciones deportivas que traten datos personales de menores.

¿Dónde se puede confirmar si una empresa o institución ha designado oficialmente un DPD?

Existe una base de datos pública de la AEPD accesible a través de Internet, que permite a cualquier persona o entidad saber si cualquier entidad (pública o privada) tienen oficialmente designado un DPD.

¿Cuánto cuesta contratar a un DPD?

Hay variaciones en función de los diferentes mercados, pero un servicio de DPD sin exclusividad que esté liderado por un profesional certificado, para que ofrezca experiencia y garantías, suele oscilar entre un mínimo de 500 euros/mes y un máximo de 3.000 euros/mes , en función del nivel de dedicación y de las condiciones particulares del servicio.

¿Es necesario que el DPD esté certificado para el buen desempeño de sus funciones?

La certificación no es obligatoria para poder ejercer como DPD, pero la Agencia Española de Protección de Datos ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que sirva como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD. Las certificaciones son otorgadas por entidades certificadoras debidamente acreditadas por ENAC y ofrecen una capa de seguridad y fiabilidad adicional a las empresas e instituciones que incorporen esta figura.