Este documento discute el rol y las responsabilidades de los Delegados de Protección de Datos (DPD) bajo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Explica que los DPD deben tener conocimientos especializados en derecho y prácticas de protección de datos, y capacidad para asesorar a las organizaciones, controlar el cumplimiento, y llevar a cabo análisis de riesgos e impacto. También cubre temas como la independencia del DPD, la posibilidad de external

1. Presente y futuro del DPO.
Ricard Martínez Martínez.

2. Aviso previo: hoy no se forman DPO’s

3. ● El país de la LOPD coste cero.
● No se preocupe los DPD se cotizan a 1.500,-€ y le
preparamos para un cómodo examen.
● Tenemos una aplicación mágica donde Vd. marca
crucecitas y…
● Ayuntamientos pequeños, 1500, medianos 6000,
grandes… ya se verá.
¿Hace falta recordar que…?

4. ● Garantizamos derechos fundamentales.
● Las organizaciones sometidas a la obligación de DPD
pueden ser muy complejas.
● Ya no registramos ficheritos sino tratamientos.
● La seguridad parte de un enfoque basado en el riesgo.
● Y como después se verá “un conocimiento profundo
del Ordenamiento”.
● Certificar no debería estar al alcance de cualquiera:
 El rigor de los títulos oficiales: formal y el otro.
 Las oposiciones.
 Los criterios de validación de conocimiento: 500 farmacias
y un software amigo no te convierten en DPO
 La independencia y confiabilidad de la evaluación.
Una verdad incómoda

5. ● Accountability
 Privacidad por defecto y privacidad desde el diseño.
 Documentación/registro de los tratamientos.
 Análisis de impacto en la privacidad.
 Seguridad y análisis de riesgos.
● Otras decisiones.
 Legitimación para el tratamiento.
 Finalidad no incompatible.
 Interés legítimo (sector pvdo).
 Transparencia.
 Nuevos derechos: olvido, portabilidad, limitación-bloqueo.
 Códigos de conducta y certificaciones.
 Directiva NIS
 E-Regulation
Obligaciones del responsable y del encargado

6. ● ¿Cuándo?
 a) el tratamiento lo lleve a cabo una autoridad u organismo público,
excepto los tribunales que actúen en ejercicio de su función
judicial;
 b) las actividades principales del responsable o del encargado
consistan en operaciones de tratamiento que, en razón de su
naturaleza, alcance y/o fines, requieran una observación
habitual y sistemática de interesados a gran escala, o
 c) las actividades principales del responsable o del encargado
consistan en el tratamiento a gran escala de categorías especiales
de datos personales con arreglo al artículo 9 y de datos relativos a
condenas e infracciones penales a que se refiere el artículo 10.
● Modalidades:
 Interno o externo.
 Grupo de empresas.
 Compartido entre administraciones.
¿Necesito un DPO?

7. ● ¿Cómo se integra?
 En el proceso decisorio: participa de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos
personales.
 Con apoyo de la dirección incluida formación y reciclaje.
 Independencia relativa.
 Localizable por los interesados.
 En contacto con la Agencia
 Podrá realizar otras funciones.

8. ¿Para qué?

9. ● Perfil:
 El delegado de protección de datos será designado atendiendo
a sus cualidades profesionales y, en particular, a sus
conocimientos especializados del Derecho y la práctica en
materia de protección de datos y a su capacidad para
desempeñar las funciones indicadas en el artículo 39:
 una persona con conocimientos especializados del Derecho y la
práctica en materia de protección de datos.
 El nivel de conocimientos especializados necesario se debe
determinar, en particular, en función de las operaciones de
tratamiento de datos que se lleven a cabo y de la protección exigida
para los datos personales.
Posgrados Bolonia o propios
¿Certificaciones?
 Capacidad para ejecutar las tareas asignadas
 Experiencia previa
 Certificaciones

10. ● Serán el elemento nuclear de este nuevo marco
jurídico para muchas organizaciones, lo que facilita el
cumplimiento de las disposiciones RGPD.
● No son personalmente responsables en caso de
incumplimiento.
● Debe conferírsele suficiente autonomía y recursos para
que lleve a cabo su cometido de forma efectiva.
● Debe determinarse internamente “si toca o no toca”.
● DPD voluntario: mismo estatus.
Algunas ideas centrales del GT29

11. ● Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público (artículo 2):
Tienen la consideración de Administraciones Públicas la AGE, las
Administraciones de las Comunidades Autónomas, las Entidades que
integran la Administración Local, así como los organismos públicos y
entidades de derecho público vinculados o dependientes de las
Administraciones Públicas.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público
vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las
Administraciones Públicas que quedarán sujetas a lo dispuesto en las
normas de esta Ley que específicamente se refieran a las mismas, en
particular a los principios previstos en el artículo 3, y en todo caso, cuando
ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica
y supletoriamente por las previsiones de la presente Ley.
Administraciones públicas:

12. ● El GT29 recomienda:
 Organizaciones privadas que llevan a cabo tareas o
ejercen autoridad pública designen un DPD y que
 Que la actividad de dicho DPD cubra también todas las
operaciones de tratamiento llevadas a cabo, incluidas las
que no están relacionadas con el desempeño de una
tarea pública o el ejercicio de una función pública (p. ej. la
gestión de una base de datos de empleados).

13. ● El número de interesados involucrados —bien como cifra concreta
o como proporción de la población correspondiente—
● El volumen de datos o el abanico de diferentes conceptos de datos
que se procesan
● La duración, o permanencia, de la actividad de tratamiento de
datos
● El alcance geográfico de la actividad de tratamiento.
● Ejemplos:
A gran escala

14. ● DPD por razones propias.
 Es importante destacar que, incluso si el responsable del
tratamiento cumple los criterios para la designación
obligatoria, su encargado del tratamiento no está
necesariamente obligado a nombrar un DPD, aunque
puede ser una práctica aconsejable.
 ¿Qué va a suceder en las licitaciones?
Encargado

15. ● Un único DPD siempre que este sea «fácilmente accesible
desde cada establecimiento».
● El responsable del tratamiento debe garantizar que un solo
DPD pueda llevar a cabo de forma eficiente sus funciones
pese a ser responsable de varias autoridades y organismos
públicos.
● Debe estar en condiciones de comunicarse de forma eficaz con
los interesados y cooperar con las autoridades supervisoras
pertinentes:
 el idioma o idiomas usados por las autoridades supervisoras y
los interesados correspondientes.
Externalizar o compartir el DPD

16. ● Disponibilidad personal de un DPD (bien físicamente
en los mismos locales como empleado, a través de una
línea directa o mediante otros medios de comunicación
seguros) es esencial para garantizar que los interesados
puedan ponerse en contacto con el DPD.
● Ojo Administración Pública:
 El DPD está obligado a mantener secreto documental y
confidencialidad en relación con el desempeño de sus
tareas, de acuerdo con el Derecho de la Unión Europea o
de los Estados miembros.
 ¿Ejercicio de potestades públicas en la atención de
derechos/transparencia?

17. «se designará en función de su cualificación profesional y, en especial, su
conocimiento experto de la legislación y las prácticas de protección de datos
así como su capacidad de desempeñar las tareas a las que hace referencia el
artículo 39»
● Nivel de conocimiento acorde con el carácter sensible, la
complejidad y la cantidad de datos que procesa una
organización
● Deben tener conocimiento de las leyes y prácticas de protección
de datos tanto nacionales como europeas y una comprensión
profunda del Reglamento general de protección de datos.
● Conocimiento del sector empresarial y la organización.
● En el caso de una autoridad u organismo públicos, el DPD debe
tener también un conocimiento sólido de las normas y
procedimientos administrativos de la organización.
● Capacidad de desempeño de sus tareas: integridad y un nivel
elevado de ética profesional
Conocimientos y destrezas del DPD

18. ● Control del cumplimiento.
● Enfoque basado en el riesgo.
● Registro de los tratamientos.
● Análisis de impacto en la protección de datos.
Funciones

19. Gr cias
• ricard.martinez@uv.es ;
•
@ricardmm; @catetedramuv1