La figura del Delegado de Protección de Datos (DPD)
Adaptado al Reglamento (UE) 2016/679 (RGPD), a la LO 3/2018, de 5 de Diciembre (LOPDGDD)
y al esquema de certificación de la
Agencia Española de Protección de Datos.
La figura del Delegado de Protección de Datos (DPD)
Adaptado al Reglamento (UE) 2016/679 (RGPD), a la LO 3/2018, de 5 de Diciembre (LOPDGDD)
y al esquema de certificación de la
Agencia Española de Protección de Datos.
Javier Puyol Montero
Abogado, Magistrado excedente, exletrado del Tribunal Constitucional, Consultor Tic’s
Queda prohibida la reproducción total o parcial de esta obra, cualquiera que sea su medio (mecánico, electrónico, por fotocopia, etc.) sin la autorización expresa de los titulares del copyright.
© AFERRE EDITOR S.L. 2020
© Autor 2020
Diseño de cubierta: Clara Batllori
Primera edición junio 2020
ISBN: 978-84-121256-8-9 (papel)
ISBN: 978-84-121256-9-6 (digital)
Depósito Legal: B 9747-2020
Edita: AFERRE EDITOR S.L.
Gran Vía de les Corts Catalanes, 510
08015 Barcelona
Telf.: (+34) 93 4548180
email: aferreeditor@gmail.com
Impresión y encuadernación: Ulzama Digital
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra.
A mi hija María
Índice
Capítulo I. Introducción
Capítulo II. La posición del DPD y su designación
1. La designación obligatoria de un DPD
2. El DPD del encargado de tratamiento.
3. La designación de un DPD único para varias organizaciones. Los conceptos de “accesibilidad” y “ubicación” en el mismo.
3.1. Introducción.
3.2. Otras consideraciones para tener en cuenta.
4. Los conocimientos y habilidades que debe reunir el DPD.
5. La publicación y la comunicación de los datos de contacto del DPD.
Capítulo III. El nombramiento del DPD y los diferentes modelos organizativos de la función del DPD
1. El DPD externo vs. DPD interno. La relación laboral vs. El contrato de prestación de servicios.
1.1. El DPD interno, y el establecimiento de la relación laboral del DPD en la organización.
1.2. La contratación de un DPD externo sobre la base de un contrato de prestación de servicios.
2. El DPD unipersonal, o el ejercicio de la función por un departamento o área.
3. La designación de un DPD único para varias organizaciones.
Capítulo IV. Otros aspectos organizativos de la función de DPD
1. La posición del DPD dentro de la organización.
2. La participación del DPD en todas las cuestiones relativas a la protección de datos personales en el ámbito de la organización.
3. Los recursos necesarios para el desarrollo y ejercicio de su función.
4. La independencia del DPD: las instrucciones y el desempeño de sus funciones y cometidos de manera independiente
5. La accesibilidad del DPD y la comunicación de su nombramiento a la autoridad de control.
5.1. La comunicación de los datos del DPD.
5.2. La obligación del responsable y del encargado del tratamiento de publicar los datos del DPD.
6. La obligación de secreto y/o confidencialidad del DPD en el ejercicio de su función.
7. La destitución o sanción por el desempeño de sus funciones de DPD. La responsabilidad del DPD.
8. La existencia de conflicto de intereses en el desarrollo de su función.
Capítulo V. El perfil profesional asignado al DPD y sus funciones
1. El perfil profesional del DPD
2. Las competencias requeridas y las funciones del DPD de acuerdo con el RGPD, la LOPDGDD y el Esquema de Certificación de la Agencia Española de Protección de Datos (AEDPD), y la Entidad Nacional de Certificación (ENAC).
3. El principio de la “accountability” y las funciones del DPD.
4. El enfoque al riesgo en la actuación del DPD
5. El papel del DPD en el mantenimiento de los registros
6. Las facultades de mediación y solución extrajudicial de conflictos del DPD
Capítulo VI. La certificación de DPD
1. Introducción
2. Los prerrequisitos existentes.
3. El Código Ético aplicable al DPD.
4. El método de evaluación establecido.
4.1. Consideraciones generales.
4.2. El examen para la obtención de la Certificación
4.3. El banco de preguntas
4.4. El Programa o Lista de Contenidos del Esquema de Certificación
5. Los criterios para la obtención de la Certificación.
5.1. Las solicitudes y desarrollo del proceso
5.2. La concesión del certificado
5.3. El mantenimiento de la Certificación.
5.4. La renovación de la Certificación
6. Los criterios para la suspensión o retirada de la Certificación.
6.1. La suspensión temporal voluntaria
6.2. La suspensión temporal por conductas contrarias al Esquema de Certificación.
6.3. La retirada de la Certificación
7. Los derechos y obligaciones de los delegados de protección de datos una vez que hayan obtenido la Certificación.
7.1. Los derechos de los DPD certificados
7.2. Las obligaciones de los DPD certificados.
8. La información de los delegados de protección de datos ya certificados.
Capítulo VII. El DPD en el ámbito del sector público
1. El modelo organizativo de la función de delegado de protección en el ámbito del sector público.
2. El ejercicio de la función de DPD en el ámbito del sector público.
Anexos
Anexo I
Anexo II
Anexo III
Anexo IV
Anexo IV
Anexo V
Anexo VI
Anexo VII
Anexo VIII
Anexo IX
Capítulo I
Introducción
El data protection officer (DPO por sus siglas en inglés) o delegado de protección de datos (DPD) es quien, entre otras funciones, tiene las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, de gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales1.
La figura del DPD, fue establecida por primera vez en la República Federal de Alemania, en el contexto de la Ley Federal de Protección de Datos o “Bundesdatenschutzgesetz”, (BDSG), de 27 de enero de 1977 y su reconocimiento ha influido de manera decisiva en la inclusión de esta figura en la Directiva 95/46/CE2, con el nombre de encargado de la protección de datos personales, en la que España, a diferencia de algunos otros países de la Unión Europea, no optó expresamente por incorporarla a su ordenamiento jurídico, al menos con el carácter de obligatoria.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos no traspuso dicha figura al ordenamiento jurídico interno español, por lo que la misma fue una gran desconocida durante el periodo de vigencia de la meritada Ley Orgánica.
En el ámbito comunitario encontramos un precedente en el Reglamento 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo al DPD en el ámbito de protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
En su Considerando 32º se afirma que: “En cada institución u organismo comunitario, uno o varios responsables de la protección de datos velarán porque se aplique lo dispuesto en el presente Reglamento y asesorarán a los responsables del tratamiento en el ejercicio de sus obligaciones”.
Читать дальше