¿Qué es un DPO y por qué es importante para las empresas?

Un DPO o Delegado de Protección de datos es la persona encargada de supervisar que en una empresa se cumpla el RGPD y se hace lo correcto para no poner en riesgo la protección de datos. En algunos casos, la designación de un DPO es algo obligatorio. Te contamos todo lo que tienes que saber al respecto.

¿Qué es un DPO y cuáles son sus funciones?

Un DPO se encarga de garantizar el cumplimiento de la ley de protección de datos en la empresa, pero hay muchos más aspectos que tenemos que conocer sobre esta figura. Puede ser interno o externo a la empresa, debe contar con conocimientos especializados del derecho y experiencia en protección de datos, aunque no se le exige estar certificado.

¿Cuáles son las funciones de un DPO?

  1. Informar y asesorar al responsable o al encargado del tratamiento de los datos, y a los empleados que también tengan que tratar datos, de las obligaciones que tienen según el RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. 
  2. Supervisar el cumplimiento de lo dispuesto en el RGPD y en el resto de normativas, así como de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. 
  3.  Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  4. Cooperar con la autoridad de control.
  5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento

¿Cuándo es obligatorio a tener un DPO?

No todas las empresas tienen que tener un DPO, sólo será obligatorio la designación de un Delegado de Protección de Datos en algunos casos:

1. Cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

¿Qué empresas están obligadas a tener un DPO?

4. Entre las entidades que deberían nombrar un delegado de protección de datos se encontrarían:

  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Aseguradoras y reaseguradoras.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas.
  • Universidades.
  • Colegios profesionales y sus consejos generales.
  • Entidades dedicadas al juego online.
Si no tienes claro si tu empresa necesita un DPO o no, puedes hacer nuestro breve test para saberlo. 

Hay que garantizar la autonomía del DPO

El DPO debe contar con la autonomía y los recursos suficientes para desarrollar su labor de forma efectiva. Por eso, es obligatorio que el responsable del tratamiento facilite al DPO todos los recursos necesarios para desarrollar su actividad de forma eficaz.

Esto define también cuál debe ser la posición del DPO dentro de la empresa. El reglamento marca que es importante que el delegado participe desde la etapa más temprana posible en todas las cuestiones relativas a la protección de datos. Además, es importante que el DPO sea considerado como un interlocutor dentro de la organización y que forme parte de los grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Importante: Los DPO no son personalmente responsables en caso de incumplimiento del RGPD

 El RGPD deja claro que el DPO no es responsable del cumplimiento de las normas sobre protección de datos, esa responsabilidad recae en el encargado de tratamiento. Si el responsable de cumplimiento toma decisiones que son incompatibles con el RGPD y el consejo del DPO, éste debe tener la posibilidad de expresar con facilidad sus discrepancias a sus superiores.

En definitiva, la figura del DPO es una de las principales incorporaciones del RGPD y es importante para garantizar el cumplimiento de la nueva normativa europea. 


Si crees que tu empresa necesita un DPO o si necesitas apoyo y asesoramiento para gestionar todos los aspectos relativos a un DPO, en Pridatect ofrecemos el servicio de DPO externo. 

 

Comparte este artículo

Comparte

Webinar gratuito que te ayudará a tener ideas más claras sobre si tu empresa o departamento legal de la empresa en la que trabajas necesita designar a un DPO. Además, conocerás las diferencias entre un DPO interno y un DPO externo y cómo elegir el que más se adapte a cada empresa

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos