Mucho ha llovido desde la última entrada en este Blog acerca de la figura del delegado de protección de datos o DPD (nada menos que la aprobación de la LOPDGDD). La figura ha perdido misterio a la par que proliferado en las compañías. En este sentido, y con el afán de desmitificarla, nace esta primera entrada sobre quién es, cuándo hay que nombrar un DPD y cómo se notifica a la AEPD.

El DPD es el garante del cumplimiento de la normativa de protección de datos en las compañías. Como veremos, esta figura regulada en los arts. 37 y ss. RGPD y 34 y ss. LOPDGDD, puede ser una persona física o jurídica, interna o externa a la compañía, y no requiere obligatoriamente estar certificado (aunque la AEPD ha alabado con mucho cariño este hecho).

¡Cuidado! El nombramiento de DPD afecta tanto a responsables como a encargados del tratamiento. En las Directrices sobre los delegados de protección de datos del Grupo de Trabajo del Artículo 29 (las “Directrices”), que fueron bendecidas por el CEPD, se indica que “el DPD designado por un encargado del tratamiento también supervisará las actividades realizadas por la organización del encargado cuando actúe como responsable del tratamiento por derecho propio (p. ej. RR HH, TI, logística)”.

¿Cuándo debo nombrar un DPD?

La primera pregunta que viene a la mente es cuándo debo nombrar un DPD. Aunando RGPD y LOPDGDD, resumimos a continuación los casos en los que es obligatorio nombrar un DPD. También se puede nombrar un DPD cuando no es obligatorio, pero cuidado: si se nombra aun siendo voluntario, se deben cumplir todas las obligaciones establecidas por la normativa (incluyendo su notificación a las autoridades supervisoras) –art. 34.2 LOPDGDD-:

La AEPD en sus FAQs, así como en las Directrices, ha analizado qué significan los elementos marcados en naranja en la tabla anterior (incluyendo muy útiles ejemplos al respecto):

  • Actividades principales: “Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento”. Hay que tener en cuenta las implicaciones de dichas operaciones, que pueden conllevar de forma indisociable tratamientos de datos personales que derivan en la necesidad de nombrar un DPD.
  • Observación habitual y sistemática: aquí la definición se desdobla:
    • Por observación la AEPD entiende –en línea con el considerando 24 RGPD– “toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental. No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados.”.
    • Por habitual se entiende cuando el tratamiento es “continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados”; y / o cuando tiene “lugar de manera constante o periódica.”.
    • Por sistemático se entiende cuando el tratamiento “se produce de acuerdo con un sistema”; es / está “preestablecido, organizado o metódico”; “tiene lugar como parte de un plan general de recogida de datos”; y / o es “llevado a cabo como parte de una estrategia”.
  • Gran escala. Lejos de dar una cifra exacta tanto en términos de sujetos afectados como de cantidad de datos objeto del tratamiento, se facilitan criterios para analizar cuándo el tratamiento se considera de gran escala. Entre otros:
    • el número de interesados afectados (cifra / porcentaje de población);
    • el volumen de datos o la variedad de elementos de datos;
    • la duración, o permanencia, del tratamiento; y
    • el alcance geográfico de la actividad de tratamiento.

¿Cómo lo notifico a la AEPD?

Como indica el artículo 34.3 LOPDGDD: “Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.

La notificación se lleva a cabo a través de la Sede Electrónica de la AEPD, donde se rellena un formulario bastante sencillo.