¿Cómo se define, dónde se...cer o DPO?
Ver Indice
»

Última revisión
03/10/2024

datos

1040 - ¿Cómo se define, dónde se regula y cuáles son las funciones del Data Protection Officer o DPO?

Tiempo de lectura: 3 min

Tiempo de lectura: 3 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 03/10/2024

Resumen:

El Data Protection Officer o DPO es una figura clave para el cumplimiento de la normativa de protección de datos y, se define como un profesional con conocimientos en derecho y práctica en materia de protección de datos. Su designación puede realizarse de forma voluntaria como una medida de responsabilidad activa o ser obligatoria en determinados casos.

Además, pueden existir mecanismos para demostrar el cumplimiento de los requisitos establecidos. El DPD debe ser una figura independiente y autónoma, con todos los recursos necesarios para desempeñar su actividad, algo que no se exceptúa en caso de que desempeñe sus funciones en un despacho de abogados.


Data Protection Officer es el nombre común por el que se conoce el delegado de protección de datos, y, en el sistema español la AEPD lo define como uno de los elementos claves del RGPD, que opera como garante en el cumplimiento de la normativa de protección de datos, con sus funciones propias y sin sustituir las de las autoridades de control. 

El artículo 37 del RGPD vino a regular la figura del DPD y de este precepto debemos destacar lo siguiente:

  • Su designación será obligatoria en determinados casos (art. 37 del RGPD y art. 34 de la LOPDGDD). Fuera de esos casos su designación queda al arbitrio, bien del responsable, bien del encargado del tratamiento, como una medida más de responsabilidad activa.
  • Debe tratarse de un profesional con conocimientos en derecho y con práctica en materia de protección de datos. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.

Cabe citar el artículo 35 de la LOPDGDD: «El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos».

  • Es necesario también, ante la naturaleza de los servicios que puede prestar el DPD, que tenga ciertos conocimientos sobre otras materias fuera de las estrictamente de carácter jurídico, como pueden ser en materia de tecnología, u otra a la que se dedique la organización donde va a desempeñar sus tareas.
  • No tienen por qué formar parte de la estructura interna de la empresa encargada del tratamiento: puede formar parte de la plantilla del responsable o encargado o puede desempeñar sus funciones como DPD en el marco de un contrato de servicio. 
  • Debe ser una figura independiente y autónoma: actuará como interlocutor entre la entidad responsable y el resto de los elementos que existan en su órbita operativa (encargados, interesados o la propia AEPD).
  • Debe tener a su disposición, por parte del responsable o encargado, todos los recursos suficientes y necesarios para desarrollar su actividad.
  • Un grupo empresarial puede nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento, esto es, que las tareas del DPD sean punto de contacto con respecto a los interesados y la autoridad de control, así como desde el interior de la organización (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—)
  • Si el responsable o el encargado del tratamiento es una autoridad u organismo público, se puede designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
  • Se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—).