Con la entrada en vigor del RGPD se hizo obligatorio el nombramiento de un delegado de protección de datos para algunas empresas u organizaciones. Infórmate de cuándo es necesario, sus prerrogativas, funciones y salario medio.

Qué es el delegado de protección de datos (DPO-DPD)

El RGPD no proporciona una definición explícita de qué se entiende por delegado de protección de datos. El significado, no obstante, puede inferirse de los artículos 37 a 39, que regulan las funciones y prerrogativas de esta figura.

Consecuentemente, el delegado de protección de datos puede definirse como esa organización o individuo con amplios conocimientos y habilidades en la normativa de protección de datos personales que actúa con independencia, asesorando al responsable o encargado, supervisando el cumplimiento y sirviendo de punto de contacto para autoridades de protección de datos e interesados.

Es habitual encontrar referencias al delegado de protección de datos como DPD o DPO. La primera es el acrónimo de delegado de protección de datos; la segunda, para data protection officer, su correlativo del inglés.

Cuándo es obligatorio nombrar a un delegado de protección de datos

El RGPD requiere a responsables o encargados designar a un delegado de protección de datos siempre que: 

  • el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; 
  • las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o 
  • las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Estos son los tres escenarios en que el RGPD establece que el nombramiento de un DPO es obligatorio, pero no son los únicos. El derecho nacional del Estado Miembro puede introducir otras situaciones en que es necesario designar un DPO, especialmente en esos casos en que el responsable o encargado es una organización privada ejerciendo una función pública. 

Por lo que se refiere a los conceptos “habitual y sistemática”, “actividades principales”, y “tratamiento a gran escala”, estos fueron tratados por el GT29 en las “Directrices sobre los delegados de protección de datos (DPD)” (WP243).

Qué significa actividades principales

Según interpretó el GT29, “Las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, las «actividades principales» no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento”.

Por ejemplo, la actividad principal de un hospital es prestar atención sanitaria, pero para prestar ese servicio de forma eficaz y segura es necesario que el hospital trate datos relativos salud.

Por otro lado, las funciones de apoyo necesarias para la actividad principal de la organización como las actividades ordinarias de TI o pagar a sus empleados se consideran normalmente como funciones auxiliares y no activan el requisito de nombrar a un DPD.

Qué significa habitual y sistemática

Para el GT29 “habitual” debería interpretarse con uno o más de los siguientes significados:

  • continuado o que se produce a intervalos concretos durante un periodo concreto;
  • recurrente o repetido en momentos prefijados; o
  • que tiene lugar de manera constante o periódica.

Y por “sistemática”:

  • que se produce de acuerdo con un sistema;
  • preestablecido, organizado o metódico;
  • que tiene lugar como parte de un plan general de recogida de datos; o
  • llevado a cabo como parte de una estrategia.

Qué significa tratamiento a gran escala

El concepto de “a gran escala” no se encuentra definido por un umbral, sino por una serie de factores que el GT29 recomendó evaluar para determinar si el tratamiento ocurre o no a gran escala. Así pues, para determinar si el tratamiento es o no a gran escala debe analizarse:

  1. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  2. el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  3. la duración, o permanencia, de la actividad de tratamiento de datos; y
  4. el alcance geográfico de la actividad de tratamiento.

Requisitos para designar un delegado de protección de datos

Accesibilidad del DPO

El delegado de protección de datos es un punto de contacto para interesados y autoridades de protección de datos, pero también internamente dentro de la organización, siendo una de sus tareas “informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros”.

Para llevar a cabo sus funciones de forma efectiva, los datos de contacto del delegado de protección de datos deben ser publicados y comunicados a las autoridades de protección de datos. Además, cualquier comunicación con los interesados o las autoridades debe tener lugar en el idioma o idiomas utilizados por las autoridades y los interesados afectados.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Adicionalmente, una buena práctica enfatizada por el GT29 que pueden acometer las organizaciones es informar a sus empleados del nombre y datos de contacto del DPO.

Cumpliendo estas condiciones, el RGPD permite a un grupo empresarial nombrar un único delegado de protección de datos siempre y cuando “sea fácilmente accesible desde cada establecimiento”. 

Y lo mismo aplica al responsable o el encargado del tratamiento cuando sea una autoridad u organismo público, estando facultada para designar un único delegado de protección de datos para varias de estas autoridades u organismos, “teniendo en cuenta su estructura organizativa y tamaño”.

Delegado de protección de datos en la UE

Para garantizar que el DPD sea accesible, el GT29 recomienda que el DPD se encuentre en la Unión Europea, con independencia de si el responsable o el encargado del tratamiento está establecido en ella.

No obstante, el GT29 también reconoce que pueden darse situaciones en las que el responsable o el encargado del tratamiento no tenga establecimiento en la Unión y el DPD pueda llevar a cabo sus actividades de manera más eficaz si se encuentra situado fuera de la UE.

Conocimientos y habilidades

Según establece el artículo 37.5 del RGPD, “el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.

El nivel de conocimientos o pericia no se encuentra definido por el RGPD pero debería ser acorde con la sensibilidad, complejidad y cantidad de datos tratados por la organización. Conocimientos de las leyes locales y europeas en protección de datos personales, del RGPD, del sector de negocio, de las operaciones de tratamiento y de los sistemas de información y los requisitos de seguridad de los datos también deberían ser valorados.

Registro del DPO

El RGPD también requiere que los datos de contacto del DPO sean comunicados a las autoridades de protección de datos relevantes.

El procedimiento de registro puede variar de un Estado Miembro a otro. Por ejemplo, en España los responsables y encargados del tratamiento que necesiten o quieran registrar el nombramiento de un DPO pueden satisfacer esta obligación a través del proceso previsto en la sede electrónica de la AEPD.

Certificación del delegado de protección de datos

La certificación no es un requisito para poder ser nombrado y ejercer como delegado de protección de datos. No obstante, obtener una certificación prueba la habilidad del profesional y de hecho son muchas las organizaciones que requieren a los candidatos a una posición de DPO presentar una certificación válida y reconocida en protección de datos o para DPO.

Figura del delegado de protección de datos

La figura del delegado de protección de datos tiene en el epicentro asistir al responsable o al encargado en todas las cuestiones relativas a la protección de datos. Para llevar a cabo sus funciones, los DPOs deben ser provistos por la organización del apoyo y recursos necesarios, deben actuar con independencia y mantener la confidencialidad en el ejercicio de sus tareas.

Participación en todas las cuestiones relativas a la protección de datos personales

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

La participación del delegado de protección de datos en todas las cuestiones y proyectos donde se traten datos personales desde el inicio facilita el cumplimiento del RGPD y es una forma de fomentar la privacidad por defecto y desde el diseño en la organización. Algunos ejemplos del GT29 sobre cómo involucrar al DPO incluyen:

  • Invitarle a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Darle presencia cuando se tomen decisiones con implicaciones para la protección de datos.
  • Tener debidamente en cuenta su opinión y documentar los motivos por los que no se sigue su consejo.
  • Consultarle con prontitud cuando se haya producido una violación de seguridad de los datos o cualquier otro incidente.

Apoyo y recursos

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

Para proveer al DPO con los recursos necesarios, el GT29 recomienda tener en cuenta, en especial, los siguientes aspectos:

  1. apoyo activo por parte de la alta dirección;
  2. tiempo suficiente para que cumpla con sus funciones;
  3. apoyo adecuado en cuanto a recursos financieros, infraestructura y personal, según se requiera;
  4. comunicación oficial de la designación del DPO a todo el personal;
  5. acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, etc.;
  6. formación continua; y
  7. establecer un equipo de DPD, si es necesario, y según el tamaño y estructura de la organización.

Independencia

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de [sus] funciones.

Por ejemplo, el GT29 señala que no debe instruirse a los DPD sobre, inter alia

  • qué resultado debería lograrse;
  • cómo investigar una queja;
  • si se debe consultar a la autoridad de control; o
  • para que adopten una determinada postura con respecto a un asunto relacionado con la ley de protección de datos.

Además, según dicta el artículo 38.3 del RGPD, “el delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”. 

Si bien los delegados de protección de datos gozan de independencia y responden ante el más alto nivel jerárquico, ello no significa que tengan poder para adoptar decisiones más allá de sus funciones; son los responsables y encargados los responsables del cumplimiento con la leyes de protección de datos.

Finalmente, para reforzar la autonomía del DPO, el RGPD les protege frente al despido u otras sanciones por desempeñar sus funciones. En este caso, por “sanción” debe interpretarse no solo un despido o u otra medida con coste económico, sino también variedades indirectas como la falta de ascensos o su dilación, el impedimento de la promoción profesional o la simple amenaza de estos.

Confidencialidad

El delegado de protección de datos está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

Este deber es especialmente relevante y a menudo ignorado en las comunicaciones entre el DPO in-house de una organización y sus empleados. Incluso en esas situaciones en que el DPO ha sido contratado por el responsable o encargado en base a una relación laboral, el DPO es independiente y debe mantener la confidencialidad en cualquier comunicación con los empleados, de otro modo estos serían reacios a la hora de comunicar cuestiones de protección de datos y las funciones del DPO se verían obstaculizadas.

Conflicto de intereses

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Muy relacionado con el requisito de actuar con independencia, los delegados de protección de datos pueden ejercer otras funciones siempre y cuando estas otras funciones o cometidos no entren en conflicto con las propias de la figura del delegado de protección de datos.

Según el GT29, esto supone, en especial, que “el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales”.

Funciones del delegado de protección de datos

El artículo 39 del RGPD lista las funciones mínimas que debe tener el delegado de protección de datos.

Asesorar y supervisar el cumplimiento

Como parte de sus funciones, el RGPD require a los DPO “informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud [del RGPD] y de otras disposiciones de protección de datos de la Unión o de los Estados miembros”. 

Ahora bien, sus funciones no se limitan a informar y asesorar, sinó que van más allá. El RGPD require al delegado de protección de datos supervisar el cumplimiento de la normativa, lo que significa que deben recabar información sobre las actividades de tratamiento, analizar y comprobar la conformidad con la normativa e informar, asesorar y emitir recomendaciones al responsable o encargado del tratamiento.

Para completar estas tareas el DPO no debe limitarse a considerar únicamente las leyes de protección de datos, sino también “las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”.

Evaluaciones de impacto de protección de datos

El artículo 39.1.c del RGPD establece que el delegado de protección de datos debe “ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35”. A su vez, el artículo 35 obliga al responsable a recabar “el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

La obligación de realizar una evaluación de impacto sobre la protección de datos es del responsable del tratamiento o del encargado, y no del delegado de protección de datos. El deber del DPO respecto a las EIPDs consiste en asesorar, no en realizar, salvo que exista disposición en contrario en el contrato de trabajo o de servicios.  

Es claro entonces que el responsable debe buscar el asesoramiento del delegado de protección de datos cuando vaya a realizar una EIPD, pero para qué cuestiones? Sobre esto se pronunció el GT29, que recomienda buscar el asesoramiento del DPD en, entre otras, las siguientes cuestiones:

  • si debe llevarse a cabo o no una EIPD;
  • qué metodología debe seguirse;
  • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
  • qué salvaguardias deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados; y
  • si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones son conformes con el RGPD.

Cooperación y punto de contacto

Como indican los artículos 39.1.(d) y (e) del RGPD, el delegado de protección de datos debe “cooperar con la autoridad de control” y “actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto”.

Orientación al riesgo

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Lo anterior significa que el delegado de protección de datos debería priorizar y centrar sus esfuerzos en esas cuestiones u operaciones que presenten mayores riesgos para la protección de datos, teniendo en cuenta que esas otras operaciones que presenten menos riesgos tampoco deberían quedar desatendidas.

Funciones desarrolladas en el contrato

Finalmente, debido a que las funciones del delegado de protección de datos establecidas por el artículo 39 del RGPD son las mínimas que debe tener y están poco desarrolladas, es altamente recomendable que el DPD y el responsable o encargado especifiquen claramente las funciones que tendrá el DPD y su alcance.

Esto puede hacerse en la descripción del contrato de trabajo, cuando el DPO vaya a incorporarse a la plantilla, o en el contrato de servicios cuando se designe a un DPO externo.

Salario medio del delegado de protección de datos

Según la última encuesta del salario de los profesionales en privacidad o protección de datos llevada a cabo por la IAPP para este 2019, los delegados de protección de datos tienen de media un salario de 100.000$, que representa uno de los salarios más bajo de entre los profesionales en protección de datos, justo por encima de los “privacy analysts”.

Existe una fuerte diferencia entre los salarios de los profesionales en privacidad de EEUU y sus contrapartes en el mundo que también se refleja en los salarios de los DPOs.

Así, mientras los delegados de protección de datos tienen de media un salario de unos 140.000$ en EE.UU., sus equivalente en la UE, incluyendo Reino Unido, tienen un salario medio de 88.000$.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo