Puntos clave
Un delegado de protección de datos (DPD) según el RGPD tiene siete funciones definidas legalmente que abarcan tareas de asesoramiento, supervisión y enlace. En las organizaciones multientidad, estas tareas crecen en complejidad, ya que requieren una gestión centralizada del ROPA, flujos de trabajo de EIPD armonizados, una gestión coordinada de las solicitudes de los interesados y una respuesta unificada ante brechas en todas las filiales y jurisdicciones. La plataforma alojada en Suiza de Priverion está diseñada específicamente para operativizar las siete funciones del DPD a escala de grupo.
Definiciones
¿Qué es un delegado de protección de datos (DPD)?
El delegado de protección de datos (DPD) es una función designada formalmente y definida en los artículos 37 a 39 del RGPD. El DPD supervisa de forma independiente la estrategia de protección de datos y el cumplimiento de una organización, rinde cuentas directamente al máximo nivel directivo y actúa como principal punto de contacto para las autoridades de control y los interesados.
¿Qué es un registro de actividades de tratamiento (ROPA)?
Un registro de actividades de tratamiento (ROPA) es un registro obligatorio en virtud del artículo 30 del RGPD que documenta cada actividad de tratamiento, su base jurídica, las categorías de datos, los destinatarios, los plazos de conservación y los mecanismos de transferencia transfronteriza. El DPD es responsable a nivel operativo de garantizar que los registros de tratamientos se mantengan completos y actualizados.
¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?
Una evaluación de impacto relativa a la protección de datos (EIPD) es una evaluación de riesgos exigida por el artículo 35 del RGPD antes de un tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de las personas. El DPD asesora sobre si se necesita una EIPD, la metodología que debe seguirse y las garantías que deben aplicarse.
¿Qué es una evaluación de impacto de transferencias (TIA)?
Una evaluación de impacto de transferencias (TIA) evalúa si el marco jurídico de un tercer país ofrece una protección adecuada para los datos personales transferidos fuera del EEE. Las Recomendaciones 01/2020 del CEPD exigen las TIA como complemento de las cláusulas contractuales tipo tras la sentencia Schrems II.
Preguntas frecuentes
¿Cuáles son las funciones esenciales de un delegado de protección de datos según el RGPD?
El artículo 39 del RGPD define siete funciones esenciales del DPD: (1) informar y asesorar a la organización y a sus empleados, (2) supervisar el cumplimiento del RGPD y de las políticas internas, (3) asesorar sobre las evaluaciones de impacto relativas a la protección de datos en virtud del artículo 35, (4) cooperar con la autoridad de control, (5) actuar como punto de contacto para los interesados, (6) mantener el registro de actividades de tratamiento en virtud del artículo 30, y (7) gestionar la notificación de brechas y la respuesta a incidentes en virtud de los artículos 33 y 34.
¿Cuándo es obligatorio nombrar a un DPD según el RGPD?
En virtud del artículo 37 del RGPD, el nombramiento de un DPD es obligatorio cuando: (a) el tratamiento lo lleva a cabo una autoridad u organismo público, (b) las actividades principales requieren una observación habitual y sistemática de los interesados a gran escala, o (c) las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales. Las Directrices del CEPD sobre los DPD (WP 243 rev.01) ofrecen una interpretación más detallada de estos criterios.
¿Cuál es la diferencia entre un DPD y un responsable de privacidad?
Un DPD desempeña una función definida legalmente en los artículos 37 a 39 del RGPD con independencia estatutaria: no puede ser destituido ni sancionado por desempeñar sus tareas (artículo 38(3)). Un responsable de privacidad es una función operativa que carece de las mismas protecciones legales, obligaciones de rendición de cuentas o acceso directo al máximo nivel directivo que el RGPD exige para los DPD.
¿Cómo gestiona un DPD el cumplimiento en múltiples entidades?
La gestión del DPD en entornos multientidad requiere un seguimiento centralizado del ROPA, flujos de trabajo de EIPD armonizados por jurisdicción, una gestión coordinada de las solicitudes de los interesados con plazos de 30 días por entidad (artículo 12(3)) y procedimientos unificados de notificación de brechas. En virtud del artículo 37(2), un grupo empresarial puede designar a un único DPD siempre que sea fácilmente accesible desde cada establecimiento.
¿Cuál es la obligación de notificación de brechas de 72 horas para un DPD?
En virtud del artículo 33(1) del RGPD, el responsable del tratamiento debe notificar a la autoridad de control competente en un plazo de 72 horas desde que tenga conocimiento de una brecha de datos personales, a menos que sea improbable que la brecha entrañe un riesgo para los derechos y libertades de las personas. El DPD asesora sobre la evaluación de la gravedad, coordina la notificación y garantiza que se mantenga un registro defendible de cada decisión.
¿Puede el DPD ser un consultor externo?
Sí. El artículo 37(6) del RGPD permite expresamente que la función del DPD la desempeñe un proveedor de servicios externo sobre la base de un contrato de servicios. El DPD externo debe cumplir los mismos requisitos de cualificación profesional e independencia que un DPD interno.
¿Qué cualificaciones necesita un DPD según el RGPD?
El artículo 37(5) del RGPD exige que el DPD se designe atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Las Directrices del CEPD sobre los DPD aclaran que el nivel de conocimientos especializados debe ser proporcional a la sensibilidad, la complejidad y el volumen de los datos que trata la organización.
¿Qué ocurre si una organización no nombra a un DPD obligatorio?
No nombrar a un DPD cuando es obligatorio constituye una infracción del artículo 37 del RGPD y puede dar lugar a multas administrativas de hasta 10 millones de euros o el 2 % del volumen de negocios anual global en virtud del artículo 83(4)(a). Varias autoridades de control de todo el EEE han impuesto multas específicamente por no nombrar a un DPD.
Estadísticas y datos del sector
Según el Informe Anual de Gobernanza de la Privacidad de IAPP-EY (2023), el 73 % de las organizaciones encuestadas ha nombrado a un DPD, y el DPD medio supervisa el cumplimiento en 4,9 entidades jurídicas. El mismo informe constató que el 62 % de los DPD citan la gestión del ROPA como su tarea más absorbente en tiempo. El Informe Anual 2023 del CEPD registró más de 2.100 casos transfronterizos tramitados a través del mecanismo de ventanilla única, lo que pone de relieve la complejidad multijurisdiccional a la que se enfrentan los DPD. Según los datos del GDPR Enforcement Tracker, las multas acumuladas del RGPD superaron los 4.500 millones de euros a finales de 2024, y los incumplimientos de la responsabilidad proactiva de la organización (incluidas las obligaciones relacionadas con el DPD) representan una parte significativa de las acciones de sanción.
Comparativa de funciones del DPD: DPD interno frente a externo
| Criterio | DPD interno | DPD externo |
|---|
| Base jurídica | Art. 37(6) del RGPD: empleado del responsable/encargado del tratamiento | Art. 37(6) del RGPD: contrato de servicios |
| Independencia | Art. 38(3): no puede ser destituido por desempeñar las tareas del DPD | Se requiere una cláusula contractual de independencia |
| Conocimiento de la organización | Profundo conocimiento institucional; integrado en las operaciones diarias | Mayor experiencia intersectorial; puede atender a varios clientes |
| Riesgo de conflicto de intereses | Mayor: no debe ocupar funciones que determinen los fines/medios del tratamiento | Menor: sin función operativa en la organización |
| Estructura de costes | Salario fijo + prestaciones; escala con la antigüedad | Tarifa variable; a menudo más rentable para las organizaciones del mercado medio |
| Disponibilidad | A tiempo completo o parcial; dedicado a una organización | Compartido entre clientes; tiempos de respuesta regidos por un SLA |
| Idoneidad para entornos multientidad | El art. 37(2) permite un único DPD para un grupo empresarial | Se aplica la misma disposición; el DPD externo debe ser accesible desde cada establecimiento |