delegadodeprotecciondedatos.eu
ESPTEN

Preguntas Frecuentes

Trece respuestas, fundamentadas en la ley española, sobre el Delegado de Protección de Datos.

Diagnóstico RGPD GratuitoContactar
¿Es obligatorio nombrar un Delegado de Protección de Datos?

La designación es obligatoria en los tres supuestos del artículo 37.1 del RGPD —autoridad u organismo público; observación habitual y sistemática a gran escala; tratamiento a gran escala de categorías especiales o datos penales— y, además, en la amplia lista de entidades del artículo 34 de la LOPDGDD.

¿Qué entidades están obligadas según el artículo 34 de la LOPDGDD?

Entre otras: colegios profesionales, centros docentes y universidades, operadores de comunicaciones electrónicas, entidades de crédito y aseguradoras, empresas de inversión, distribuidoras de energía y gas, responsables de ficheros de solvencia, centros sanitarios, operadores de juego y empresas de seguridad privada.

¿Hay que comunicar el nombramiento a la AEPD?

Sí. El artículo 34.3 de la LOPDGDD obliga a comunicar a la AEPD —o a la autoridad autonómica competente— las designaciones, nombramientos y ceses del DPD en el plazo de diez días, tanto si la designación es obligatoria como voluntaria. La AEPD mantiene un registro público de DPD.

¿Es obligatoria la certificación AEPD-DPD?

No. El Esquema de Certificación AEPD-DPD es voluntario y acredita la cualificación profesional del DPD, mediante entidades acreditadas por la ENAC. Puede ejercerse como DPD sin estar certificado, pero la certificación aporta seguridad y confianza.

¿Puede el DPD ser externo?

Sí. El artículo 37.6 del RGPD admite que el DPD ejerza sus funciones mediante un contrato de servicios, externo a la organización.

¿En qué se diferencia el DPD del Compliance Officer?

El Compliance Officer asegura el cumplimiento general de la organización y puede tener responsabilidades de gestión; el DPD es una figura específica de protección de datos, con independencia estatutaria, que no decide los fines ni los medios del tratamiento. Acumular ambos puede generar conflicto de intereses.

¿Puede el DPD ser cesado por desempeñar sus funciones?

No. El artículo 36.2 de la LOPDGDD refuerza la garantía del RGPD: el DPD no puede ser removido ni sancionado por desempeñar sus funciones, salvo en supuestos de dolo o negligencia grave.

¿Qué es la intervención del DPD en una reclamación?

El artículo 37 de la LOPDGDD permite al afectado dirigirse al DPD con carácter previo a reclamar ante la AEPD; el DPD comunica la decisión en un plazo máximo de dos meses.

¿Qué cualificación debe tener el DPD?

El artículo 37.5 del RGPD exige conocimientos especializados en derecho y práctica de protección de datos; el artículo 35 de la LOPDGDD precisa que la cualificación puede acreditarse, entre otros medios, mediante esquemas de certificación como el de la AEPD.

¿Qué es una Evaluación de Impacto (EIPD)?

Es la evaluación que el responsable debe realizar, antes del tratamiento, cuando este sea susceptible de implicar un alto riesgo para los derechos y libertades, conforme al artículo 35 del RGPD.

¿Cómo se notifica una brecha de seguridad?

A la AEPD sin dilación indebida y, de ser posible, en 72 horas (art. 33); si entraña un alto riesgo, debe comunicarse también a los afectados (art. 34).

¿Cuáles son los derechos de los afectados?

Información, acceso, rectificación, supresión, limitación, portabilidad, oposición y no ser objeto de decisiones automatizadas, en el capítulo III del RGPD, junto con los derechos digitales del Título X de la LOPDGDD.

¿Existen autoridades de control autonómicas?

Sí. Además de la AEPD, existen autoridades autonómicas: la APDCAT en Cataluña, la AVPD en el País Vasco y el Consejo de Transparencia y Protección de Datos de Andalucía.

¿Puede un grupo empresarial designar un único DPD?

Sí. El artículo 37.2 del RGPD lo permite, siempre que el DPD sea fácilmente accesible desde cada establecimiento.

Utilizamos cookies esenciales y, con su consentimiento, cookies de análisis. Consulte la Política de Cookies.