¿Necesito nombrar a DPD?

¡Responda a las preguntas a través de nuestro diagrama de flujo interactivo para averiguarlo!

*¡Los tribunales que actúan en su capacidad judicial son una excepción!

Tratamos datos sensibles o datos relacionados con condenas penales y delitos

Hago esto a gran escala

Llevo a cabo un seguimiento regular y sistemático de las personas

Mis actividades principales requieren el tratamiento de
datos sensibles o datos relativos a condenas e infracciones penales

Hago esto a gran escala

Mis actividades principales requieren un seguimiento regular y sistemático

¿Necesito nombrar un DPD?

Sí, el nombramiento de un El DPD es obligatorio

¿Necesito nombrar un DPD?

No, el nombramiento de un DPD es voluntario.
Sin embargo, es aconsejado.

¿Qué es un DPD? ¿Tu organización necesita uno?

¿Qué es un DPD y cuál es su función?

El delegado de protección de datos (también conocido como «DPD») es un experto en protección de datos que asesora sobre el cumplimiento de la protección de datos dentro de una organización.

El DPD debe participar, de manera adecuada y en tiempo oportuno, en todas las cuestiones relacionadas con la protección de los datos personales.

Según RGPD, las tareas del DPO son, como mínimo, las siguientes:

  • informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
  • supervisar el cumplimiento de la protección de datos;
  • asesorar sobre las solicitudes relativas a la evaluación de impacto sobre la protección de datos (EIPD);
  • actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de control;
  • actuar como punto de contacto para las personas.

En general, se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente cuando se produzca una violación de datos u otro incidente.

En la práctica, el   el responsable del tratamiento o el encargado del tratamiento suelen asignar al DPD la tarea de mantener el registro de las operaciones de tratamiento.

¿Necesita mi organización un DPD?

El nombramiento de un DPD es obligatorio en los tres casos siguientes:

  • el tratamiento de datos personales lo lleva a cabo una autoridad u organismo público;
  • las actividades principales de la organización consisten en una observación habitual y sistemática de interesados a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
  • las actividades principales de la organización consisten en el tratamiento a gran escala de categorías especiales de datos.

Los conceptos de «actividades principales», «observación habitual y sistemática» y «a gran escala» son cruciales para determinar si una organización debe nombrar un DPD.

«Actividades principales» significa que las operaciones de tratamiento son fundamentales para alcanzar los objetivos del responsable o encargado del tratamiento. También incluyen todas las actividades en las que el tratamiento de datos forma una parte inextricable de la actividad del responsable o del encargado del tratamiento.

El concepto «A gran escala» depende de diferentes factores, como el volumen de los datos tratados, el número de personas afectadas -ya sea como un número específico o como proporción de la población pertinente-, la duración y el ámbito geográfico del tratamiento.

El concepto «Observancia habitual y sistemática» incluye todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad basada en el comportamiento. Sin embargo, el concepto de seguimiento no se limita al entorno en línea.

En la práctica

  • Actividades principales
    Por ejemplo, el propósito principal de una clínica es prestar servicios sanitarios a particulares. En este caso, el tratamiento de datos de salud, tales como los historiales médicos de los pacientes, debe considerarse una de las actividades principales de la organización.
    Sin embargo, todas las organizaciones llevan a cabo determinadas actividades de apoyo, por ejemplo, pagar a sus empleados o llevar a cabo actividades estándar de apoyo informático. Estos son ejemplos de funciones de apoyo necesarias para la actividad principal de la organización. Aunque estas actividades sean necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

 

  • A gran escala
    Ejemplos de tratamiento a gran escala son:
    1. el tratamiento de datos de pacientes en el marco de las actividades cotidianas de un hospital;
    2. el tratamiento de datos de clientes en el contexto de las actividades cotidianas de una compañía de seguros o de un banco;
    3. el tratamiento con fines estadísticos de los datos de localización actual de los clientes de una cadena internacional de comida rápida por un subcontratista especializado en dichos servicios;
    4. el tratamiento de datos personales para publicidad basada en el compartimiento por un motor de búsqueda;
    5. el tratamiento de datos (contenido, flujo, localización) por parte de proveedores de servicios telefónicos y de Internet.

Ejemplos de tratamientos que no se considerarían a gran escala:

  1. tratamiento de datos de pacientes por un único médico general;
  2. tratamiento de datos personales relativos a condenas y delitos por parte de un abogado individual.

     
  • Observancia habitual y sistemática
    Por ejemplo, el seguimiento habitual y sistémico abarca el redireccionamiento por correo electrónico; actividades de marketing basadas en datos; elaboración de perfiles y puntuación a efectos de evaluación del riesgo (por ejemplo, a efectos de calificación de crédito, establecimiento de primas de seguro, prevención del fraude, detección del blanqueo de capitales); seguimiento de la ubicación (por ejemplo, mediante aplicaciones móviles); programas de fidelización; publicidad comportamental; seguimiento de los datos de bienestar, forma físico y salud a través de dispositivos portátiles; la videovigilancia; dispositivos conectados (por ejemplo, contadores inteligentes), coches inteligentes, domótica, etc.
    Como tal, un responsable o encargado del tratamiento que tenga como actividad principal proporcionar servicios de análisis de sitios web y asistencia con publicidad y marketing dirigidos tendrá que nombrar un DPD.
     

Siempre puedes designar un DPD de forma voluntaria, aunque no sea legalmente obligatoria. Ten en cuenta que, en ese caso, debes cumplir con todas las disposiciones del RGPD relativas a las tareas y al cargo del delegado de protección de datos. Por lo tanto, se recomienda utilizar el título de DPD únicamente para una persona cuya función y posición coincida con la descripción del RGPD.

¿Quién puede ser DPD en mi organización?

El DPD debe poder desempeñar sus funciones y tareas de manera independiente. Esto significa que tu organización:

  • no podrá dar instrucciones al DPD con respecto al ejercicio de sus funciones de DPD;
  • no podrá sancionar o destituir al DPD por el desempeño de sus tareas.

La autonomía de los DPD no significa, sin embargo, que tengan poderes de toma de decisiones que vayan más allá de sus tareas. Las organizaciones siguen siendo responsables del cumplimiento de la legislación sobre protección de datos y deben poder demostrar dicho cumplimiento.

El DPD debe considerarse un interlocutor dentro de la organización y debe tomar parte en los debates sobre las actividades de tratamiento de datos dentro de la organización.
Los DPD dependerán directamente del más alto nivel de dirección del responsable o del encargado del tratamiento.
Los DPD pueden desempeñar otras tareas dentro de la organización, pero ello no puede dar lugar a un conflicto de intereses. Esto implica que el DPD no puede tener un cargo en el que determine los fines y medios de las actividades de tratamiento de datos personales. Las funciones de conflicto incluyen principalmente puestos de dirección (director ejecutivo, director de operaciones, director financiero, director recursos humanos, director de IT, director gerente), pero también pueden implicar otras funciones si conducen a la determinación de los fines y medios del tratamiento.

De conformidad con el RGPD es posible designar un DPD externo mediante un contrato para sus servicios. El contrato puede celebrarse con un particular o con una organización. En este último caso, es esencial que cada miembro de la organización no tenga un conflicto de intereses y esté protegido contra cualquier rescisión indebida del contrato de servicio, pero también contra el despido improcedente de cualquier miembro individual de la organización por actividades como DPD.

Tu organización debe ayudar al DPD proporcionándole acceso a cualquier operación de tratamiento, así como a cualquier dato personal tratado en el contexto de estas operaciones de tratamiento. Es fundamental que el DPD participe desde la fase más temprana posible en todas las cuestiones relacionadas con la protección de datos. También deben ponerse a disposición del DPD los recursos necesarios para el desempeño de sus funciones (tiempo, formación, equipo y medios financieros).

En la práctica

En el desempeño de sus tareas, los DPD no deben recibir instrucciones sobre cómo tratar un asunto. Por ejemplo, el DPD no debe recibir instrucciones sobre cuál debe ser el resultado de su asesoramiento, sobre cómo debe investigar una reclamación de una persona, o sobre si la consulta a la autoridad de protección de datos es adecuada u obligatoria. Además, el DPD no debe recibir indicaciones para adoptar un determinado punto de vista sobre una cuestión relacionada con la legislación en materia de protección de datos, como por ejemplo, una interpretación particular de la ley.

Lista de verificación para la designación de un DPD

  • Comprueba si se requiere o no un DPD: Comprueba si necesitas nombrar a un DPD y, en caso de duda, documenta las razones por las que nombras o no a un DPD.
  • Si se requiere un DPD:
    • Decide entre un DPD interno o externo: Si se requiere un DPD, decide si será miembro de su organización o será un DPD sobre la base de un contrato de servicios;
    • Verifica que el DPD posee las cualidades profesionales y la experiencia en legislación y prácticas de protección de datos, así como la capacidad para desempeñar las tareas;
    • Verifica los requisitos de independencia: Comprueba si tu DPD tiene otras obligaciones que podrían comprometer su independencia en el desempeño de sus tareas (conflictos de intereses);
    • Desarrolla procedimientos estándar dentro de la gestión de tu organización para la participación del DPD.
  • Si no se requiere un DPD:
    • Piénsalo detenidamente: Incluso si no designas a un DPD en el sentido del RGPD, tendrás que cumplir una serie de requisitos de protección de datos. Te aconsejamos que nombres a un DPD de forma voluntaria, o a una persona que no tenga el título de DPD que, aunque no ejerza plenamente las tareas de un DPD, supervise el cumplimiento y actúe como persona de contacto para los interesados que ejercen sus derechos.