Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Mucho ha llovido desde la última entrada en este Blog acerca de la figura del delegado de protección de datos o DPD (nada menos que la aprobación de la LOPDGDD). La figura ha perdido misterio a la par que proliferado en las compañías. En este sentido, y con el afán de desmitificarla, nace esta primera entrada sobre quién es, cuándo hay que nombrar un DPD y cómo se notifica a la AEPD.
El DPD es el garante del cumplimiento de la normativa de protección de datos en las compañías. Como veremos, esta figura regulada en los arts. 37 y ss. RGPD y 34 y ss. LOPDGDD, puede ser una persona física o jurídica, interna o externa a la compañía, y no requiere obligatoriamente estar certificado (aunque la AEPD ha alabado con mucho cariño este hecho).
¡Cuidado! El nombramiento de DPD afecta tanto a responsables como a encargados del tratamiento. En las Directrices sobre los delegados de protección de datos del Grupo de Trabajo del Artículo 29 (las “Directrices”), que fueron bendecidas por el CEPD, se indica que “el DPD designado por un encargado del tratamiento también supervisará las actividades realizadas por la organización del encargado cuando actúe como responsable del tratamiento por derecho propio (p. ej. RR HH, TI, logística)”.
La primera pregunta que viene a la mente es cuándo debo nombrar un DPD. Aunando RGPD y LOPDGDD, resumimos a continuación los casos en los que es obligatorio nombrar un DPD. También se puede nombrar un DPD cuando no es obligatorio, pero cuidado: si se nombra aun siendo voluntario, se deben cumplir todas las obligaciones establecidas por la normativa (incluyendo su notificación a las autoridades supervisoras) –art. 34.2 LOPDGDD-:
La AEPD en sus FAQs, así como en las Directrices, ha analizado qué significan los elementos marcados en naranja en la tabla anterior (incluyendo muy útiles ejemplos al respecto):
Como indica el artículo 34.3 LOPDGDD: “Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
La notificación se lleva a cabo a través de la Sede Electrónica de la AEPD, donde se rellena un formulario bastante sencillo.
Escrito por Santiago de Ampuero