Delegado de protección de datos (DPD)
Figura responsable de supervisar el cumplimiento del RGPD en una organización, obligatoria en determinados sectores y tipos de empresas.
Qué es el Delegado de protección de datos
El Delegado de Protección de Datos (DPD), conocido internacionalmente como Data Protection Officer (DPO), es la persona encargada de supervisar que una organización cumple con el Reglamento General de Protección de Datos (RGPD) y con la normativa nacional aplicable. Su función principal es actuar como punto de referencia entre la organización, los interesados (clientes, empleados, pacientes) y la autoridad de control (en España, la Agencia Española de Protección de Datos o AEPD).
El DPD no es un cargo meramente formal. Debe contar con conocimientos especializados en derecho y práctica de protección de datos, y la organización está obligada a garantizar su independencia funcional: no puede recibir instrucciones sobre cómo ejercer sus funciones y no puede ser destituido ni sancionado por el desempeño de sus tareas.
La figura del DPD fue establecida por los artículos 37 a 39 del RGPD y desarrollada en España por la Ley Orgánica 3/2018 (LOPDGDD), que amplía los supuestos en los que su designación es obligatoria.
Cuándo es obligatorio designar un DPD
El artículo 37 del RGPD establece la obligatoriedad del DPD en tres supuestos generales:
- Autoridades y organismos públicos (excepto tribunales en el ejercicio de su función judicial).
- Organizaciones cuya actividad principal consista en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Organizaciones cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (como datos de salud, datos biométricos o datos penales).
La LOPDGDD española (artículo 34) amplía significativamente esta lista. Son algunos de los sectores y entidades obligados:
| Sector / Tipo de entidad | Base legal |
|---|---|
| Centros sanitarios | Art. 34.1.l LOPDGDD |
| Centros docentes y universidades | Art. 34.1.c LOPDGDD |
| Colegios profesionales | Art. 34.1.b LOPDGDD |
| Empresas de seguridad privada | Art. 34.1.h LOPDGDD |
| Entidades aseguradoras y financieras | Art. 34.1.f LOPDGDD |
| Distribuidores y comercializadores de energía | Art. 34.1.i LOPDGDD |
| Empresas de publicidad y prospección comercial | Art. 34.1.k LOPDGDD |
Para una clínica dental, un centro de fisioterapia o cualquier centro sanitario, la designación del DPD es obligatoria, independientemente de su tamaño. Esto se debe a que tratan datos de salud, que son categoría especial bajo el artículo 9 del RGPD sanitario.
Funciones del DPD
Las funciones del DPD están definidas en el artículo 39 del RGPD:
- Informar y asesorar a la organización y a sus empleados sobre las obligaciones de protección de datos.
- Supervisar el cumplimiento del RGPD, la LOPDGDD y las políticas internas de protección de datos.
- Asesorar sobre la Evaluación de Impacto (EIPD) cuando sea necesaria, y supervisar su aplicación.
- Cooperar con la autoridad de control (AEPD) y actuar como punto de contacto ante ella.
- Atender las consultas de los interesados en relación con el tratamiento de sus datos y el ejercicio de sus derechos.
El DPD no es responsable del cumplimiento en sí mismo (esa responsabilidad recae en el responsable del tratamiento), sino de supervisar y asesorar para que ese cumplimiento se produzca.
DPD interno vs. externo
La organización puede designar un DPD interno (un empleado de la propia empresa) o un DPD externo (un profesional o empresa contratada para esta función). Ambas opciones son válidas bajo el RGPD.
| Aspecto | DPD interno | DPD externo |
|---|---|---|
| Conocimiento de la organización | Alto | Requiere periodo de adaptación |
| Independencia | Riesgo de conflicto de intereses | Mayor independencia funcional |
| Coste | Salario + formación continua | Contrato de servicios (desde 100-300 EUR/mes en PYME) |
| Dedicación | Puede ser parcial si no hay conflicto | Definida por contrato |
| Idoneidad para PYMEs | Difícil si no hay perfil cualificado | Opción más habitual en PYMEs |
Para la mayoría de PYMEs españolas, incluyendo clínicas y pequeños centros sanitarios, la opción más viable es un DPD externo que atienda a varias organizaciones, lo que permite cumplir con la obligación legal a un coste proporcionado.
Relación con la AEPD
Una vez designado, el DPD debe comunicarse a la AEPD a través de su registro público. Sus datos de contacto deben ser accesibles para los interesados, y la AEPD mantiene un buscador donde cualquier ciudadano puede verificar si una organización tiene un DPD designado.