Delegado de Protección de Datos

Todas las administraciones públicas y sus organismos públicos vinculados o dependientes, que actúen como responsables o encargados del tratamiento de datos personales, deben designar obligatoriamente a un delegado de protección de datos (DPD). Puede ser un trabajador de la administración pública (DPD interno) o una organización/empresa ajena a la organización de la administración pública (DPD externo). La designación del DPD debe comunicarse a la APDCAT a través del formulario de alta correspondiente.

La obligación de las administraciones públicas de tener un delegado de protección de datos no afecta a las empresas municipales de derecho privado. Esto, sin perjuicio de su obligatoriedad en caso de que la actividad de la empresa comporte una observación habitual y sistemática de personas a gran escala, o que comporte el tratamiento a gran escala de categorías especiales de datos o relativas a condenas e infracciones penales.

También es obligatorio si la empresa se dedica a alguna de las actividades previstas en el artículo 34 de la LOPDDDD.

Para más información sobre esta cuestión, puede consultar el dictamen CNS 39/2019.

Sí. De acuerdo con la LOPDGDD, los colegios profesionales y los consejos generales de colegios deben designar obligatoriamente a un delegado de protección de datos.

El RGPD no establece una titulación específica para el delegado de protección de datos. No obstante, es necesario que tenga conocimientos especializados en derecho, sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y un profundo conocimiento del RGPD. Asimismo, debe tener práctica en protección de datos para poder identificar los riesgos asociados a las operaciones del tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y las finalidades del tratamiento.

Por tanto, debe determinarse de acuerdo con las operaciones de tratamiento de datos que se llevan a cabo y de la protección requerida para los datos personales tratados.

En cualquier caso, debe tener conocimientos del sector de la actividad de que se trate, de la organización, de las operaciones de tratamiento que se llevan a cabo y de los sistemas de información.

El responsable del tratamiento puede contratar los servicios de delegado de protección de datos ofrecidos por un profesional, organización o empresa ajena a su estructura organizativa, siempre que se acrediten las competencias profesionales a las que hace referencia el RGPD y se garantice que no concurre ningún conflicto de interés.

La designación de este delegado de protección de datos externo exige formalizar un contrato de encargo del tratamiento, a fin de que pueda acceder a la información personal que necesite para ejercer sus funciones y de la que sea responsable la Administración contratante.

Una vez designado el delegado de protección de datos, se debe publicar sus datos de contacto para que las personas interesadas puedan contactar con ellos de forma fácil y directa. También es necesario comunicar esta designación a la APDCAT, a través del siguiente formulario.

Si desea disponer de más información sobre esta cuestión, puede consultar el dictamen CNS 31/2018. 

Sí. Las diputaciones, en ejercicio de sus competencias de asistencia y cooperación técnica en los municipios, pueden prestar el servicio de delegado de protección de datos a entidades locales. Un ayuntamiento puede designar a un órgano o persona al servicio de la diputación como delegado de protección de datos, siempre que no haya ningún conflicto de interés.

Respecto a estas cuestiones, puede consultar el dictamen CNS 23/2018.

El delegado de protección de datos puede formar parte de la plantilla del responsable o del encargado del tratamiento, o ejercer sus funciones en el marco de un contrato de servicios. Puede desarrollar otras tareas y funciones distintas de las que estrictamente corresponden al delegado de protección de datos.

Ahora bien, para garantizar la independencia a la hora de desempeñar sus funciones, el responsable o el encargado del tratamiento deben evitar que la asunción de estas otras tareas y funciones pueda dar lugar a un conflicto de intereses. Consecuentemente, no se puede designar como delegado de protección de datos a una persona que, al mismo tiempo, tenga tareas que impliquen participar en el proceso de toma de decisiones sobre los tratamientos o en su implementación, en aspectos tan primordiales como la implementación de las medidas de seguridad, como es el caso del responsable de seguridad de la información.