Comparte

¿Quieres saber si estás obligado a nombrar un Delegado de Protección de Datos?, ¿tiene que ser alguien externo o puede ser un trabajador?, ¿cuales son sus funciones?.

Son las dudas más frecuentes que se nos plantean ante esta figura. Te aclaramos las dudas, sigue leyendo.

¿Qué es un DPD o DPO?

Un Delegado de Protección de Datos (DPD) o DPO (Data Protection Officer) es la figura responsable de velar por el cumplimiento de la normativa de protección de datos dentro de la organización. Es el profesional que comprueba que los tratamientos de datos que realiza la organización se lleven a cabo de acuerdo con los criterios definidos en la normativa.

¿Cuáles son los servicios sanitarios obligados a designarlo?

El RGPD establece en su artículo 37.c) la obligatoriedad de nombrar un DPD cuando se de la siguiente circunstancia: “c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”

Debemos recordar que entre los datos de categoría especial que se detallan en el art. 9 del RGPD se incluyen los datos de salud, por tanto, a priori todo el sector sanitario queda afectado por esta obligación.

Los requisitos que exige el Reglamento en el artículo 37.5 son tres:

  • Tratar datos a gran escala.
  • Que los datos tratados sean de categoría especial (datos de salud).
  • Que este en el marco de nuestra actividad principal.

Todos los requisitos son claros a excepción del primero, que no está claramente definido en la norma, habría que valorar caso por caso conforme a los criterios del Comité Europeo de Protección de Datos.

La LOPDGDD

La LOPDGDD es la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, ésta es más clara en sus planteamientos.

En su artículo 34.1.l) establece que será obligatorio designar un DPD en “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes” y exceptúa de esta obligación a los “profesionales de la salud que, aún estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.

Por tanto, al margen de los profesionales que ejercen su actividad a título individual, el resto de los centros que estén obligados a mantener historias clínicas de los pacientes sí deben designar un DPD.

El R.D. 1227/2003 de 10 de octubre en su Anexo I y Anexo II acota el listado completo de centros sanitarios obligados, entre los que se encuentran:

  • Hospitales.
  • Consultas médicas y de otros profesionales sanitarios.
  • Clínicas.
  • Clínicas dentales.
  • Centros de reconocimiento médico.
  • Centros geriátricos.
  • Servicios sanitarios integrados dentro de una organización no geriátrica como un centro de día, una residencia de la tercera edad, un balneario etc.

Todos ellos están obligados a designar un DPD.

La diferencia la establece el Real Decreto en torno al concepto de centro sanitario y establecimiento sanitario.

A este último concepto corresponderían las oficinas de farmacia, las ópticas, ortopedias, establecimientos de audioprótesis… Que como establecimientos sanitarios (y no centros sanitarios) no estarían obligados a designar un DPD.

¿Quién puede ser DPD?

El artículo 37.5 del RGPD establece que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.

Se ha habilitado también la vía de la certificación, de forma que los profesionales de esta materia pueden acreditar su conocimiento a través del correspondiente certificado de DPD, emitido por la AEPD y ENAC, para cuya obtención es preciso superar un examen de certificación a través de las entidades certificadoras autorizadas.

El DPD puede ser designado interna o externamente y puede ser un profesional o una empresa. Un buen criterio para la selección de un DPD para nuestra organización es requerir que se trate de un profesional/empresa certificado, aunque no es obligatorio.

Se puede designar también a un profesional/empresa con formación jurídica y una experiencia dilatada en proyectos del implantación y consultoría de la normativa de protección de datos siempre que esto se acredite.

Es importante tener en cuenta que existen determinados perfiles que no pueden desempeñar al mismo tiempo el cargo de DPD dentro de la organización por existir conflicto de intereses entre ambos cargos, como por ejemplo:

  • Director general.
  • Director financiero.
  • Director médico.
  • Jefe del departamento de mercadotecnia.
  • Jefe de recursos humanos.
  • Director del departamento de TI.

Pero también con otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento (Directriz WP 243 del Grupo de Trabajo del Art. 29 (UE))

¿Cuáles son las funciones del DPD?

El artículo 39 del RGPD establece que las funciones del DPD serán como mínimo las siguientes:

  • Informar y asesorar a la entidad y a sus empleados sobre las obligaciones en materia de protección de datos y la legislación aplicable
  • Supervisar el cumplimiento de la normativa incluida la asignación de funciones y la formación.
  • Asesorar en la realización de Evaluaciones de Impacto sobre protección de datos
  • Actuar como interlocutor de la entidad ante la AEPD
  • Atender las reclamaciones previas de los interesados y atender en primera instancia las reclamaciones contra la entidad presentadas ante la AEPD, debiendo dar respuesta en el plazo de un mes.

Estas funciones son muy relevantes ya que en muchas ocasiones podrían evitar el inicio de un expediente sancionador por parte de la AEPD.


¿Tienes alguna duda o necesitas asesoramiento?

Contacta con nuestros expertos. Te ayudamos a encontrar la solución que mejor se adapte a tus necesidades.

Comparte
Abrir chat
1
Hola, ¿en qué podemos ayudarte?