En la era digital, donde los datos personales se han convertido en uno de los activos más valiosos, garantizar su protección no es solo una buena práctica, sino una obligación. El Reglamento General de Protección de Datos (RGPD) establece normas estrictas sobre cómo las organizaciones deben gestionar y proteger la información personal. En este contexto, surge una figura clave: el Delegado de Protección de Datos (DPD). 

El DPD actúa como el garante del cumplimiento del RGPD dentro de las organizaciones, asegurando que las prácticas de tratamiento de datos personales respeten los derechos y libertades de los individuos.  

¿Quieres saber más acerca de quién es el DPD, cuáles son sus funciones, cuándo se debe nombrar esta figura y qué puede ocurrir si no se nombra? ¡Sigue leyendo! A continuación de contamos todas las claves.

¿Qué es un DPD?

La Agencia Española de Protección de Datos (AEPD), menciona que el Delegado de Protección de Datos (DPD) es una figura que constituye uno de los elementos clave del Reglamento General de Protección de Datos (RGPD), y un garante del cumplimiento de la normativa de protección de datos en las organizaciones. 

¿Cuáles son las funciones del Delegado de Protección de Datos?

• El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • cooperar con la autoridad de control; 
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso sobre cualquier otro asunto. 
• El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asocie a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

¿Cuándo se debe nombrar a un Delegado de Protección de Datos?

El Reglamento General de Protección de Datos (RGPD) 

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Nuestra Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) 

• Los colegios profesionales y sus consejos generales. 
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. 
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. 
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito: 
  1. Los bancos
  2. Las cajas de ahorros
  3. Las cooperativas de crédito
  4. El Instituto de Crédito Oficial
• Los establecimientos financieros de crédito. 
• Las entidades aseguradoras y reaseguradoras. 
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. 
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. 
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo 
• los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBC-FT):
  1. Las entidades de crédito.
  2. Las entidades aseguradoras autorizadas para operar en el ramo de vida y los corredores de seguros cuando actúen en relación con seguros de vida u otros servicios relacionados con inversiones, con las excepciones que se establezcan reglamentariamente.
  3. Las empresas de servicios de inversión. 
  4. Las sociedades gestoras de instituciones de inversión colectiva y las sociedades de inversión cuya gestión no esté encomendada a una sociedad gestora. 
  5. Las entidades gestoras de fondos de pensiones. 
  6. Las sociedades gestoras de entidades de capital-riesgo y las sociedades de capital-riesgo cuya gestión no esté encomendada a una sociedad gestora. 
  7. Las sociedades de garantía recíproca. 
  8. Las entidades de pago y las entidades de dinero electrónico.
  9. Las personas que ejerzan profesionalmente actividades de cambio de moneda. 
  10. Los servicios postales respecto de las actividades de giro o transferencia. 
  11. Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos, así como las personas que, sin haber obtenido autorización como establecimientos financieros de crédito, desarrollen profesionalmente alguna de las actividades a que se refiere la Disposición adicional primera de la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en materia de Entidades de Crédito a la Segunda Directiva de Coordinación Bancaria y se introducen otras modificaciones relativas al Sistema Financiero (nota: disposición derogada por la disposición derogatoria d) de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial). 
  12. Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos, así como las personas que, sin haber obtenido autorización como establecimientos financieros de crédito, desarrollen profesionalmente alguna de las actividades a que se refiere la Disposición adicional primera de la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en materia de Entidades de Crédito a la Segunda Directiva de Coordinación Bancaria y se introducen otras modificaciones relativas al Sistema Financiero (nota: disposición derogada por la disposición derogatoria d) de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial). 
  13. Los auditores de cuentas, contables externos o asesores fiscales. 
  14. Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles. 
  15. Los abogados, procuradores u otros profesionales independientes cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria. 
  16. Las personas que con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable presten los siguientes servicios por cuenta de terceros: constituir sociedades u otras personas jurídicas; ejercer funciones de dirección o de secretarios no consejeros de consejo de administración o de asesoría externa de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones; facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos; ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones; o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones. 
  17. Los casinos de juego. 
  18. Las personas que comercien profesionalmente con joyas, piedras o metales preciosos.
  19. Las personas que comercien profesionalmente con objetos de arte o antigüedades. 
  20. Las personas que ejerzan profesionalmente las actividades a que se refiere el artículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de los consumidores en la contratación de bienes con oferta de restitución del precio: 

      • Comercializan bienes mediante contratos de mandato de compra y venta de bienes y otros contratos que permitan realizar esta actividad, percibiendo el precio de adquisición de los mismos o una comisión y comprometiéndose a enajenarlos por cuenta del consumidor entregando a éste, en varios o en un único pago, el importe de su venta o una cantidad para el supuesto de que no halle un tercero adquirente de los bienes en la fecha pactada. 

      • Comercializan bienes mediante los contratos indicados en el párrafo anterior con ofrecimiento de revalorización, o en su caso, con garantía de restitución del precio de adquisición o cualquier otro importe. 

        Los bienes a que se refiere son sellos, obras de arte, antigüedades, joyas, árboles, bosques naturales, animales en todo caso y asimismo aquellos otros bienes susceptibles de ser objeto de la actividad descrita. 

  21. Las personas que ejerzan actividades de depósito, custodia o transporte profesional de fondos o medios de pago. 
  22. Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos. En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios. 
  23. Las personas físicas que realicen movimientos de medios de pago, en los términos establecidos en el artículo 34 de la LPBC-FT. 
  24. Las personas que comercien profesionalmente con bienes, en los términos establecidos en el artículo 38 de la LPBC-FT. 
  25. Las fundaciones y asociaciones, en los términos establecidos en el artículo 39 de la LPBC-FT. 
  26. Los gestores de sistemas de pago y de compensación y liquidación de valores y productos financieros derivados, así como los gestores de tarjetas de crédito o débito emitidas por otras entidades, en los términos establecidos en el artículo 40 de la LPBC-FT. 
      
      
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. 
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual). 
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. 
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. 
• Las empresas de seguridad privada. 
• Las federaciones deportivas cuando traten datos de menores de edad.
  
  
  Los responsables y encargados del tratamiento deben comunicar en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

¿Cuándo se debe nombrar a un Delegado de Protección de Datos? 

El Reglamento General de Protección de Datos (RGPD).

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. 
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

¿Qué puede ocurrir si no designo a un DPD?

El artículo 73. de la LOPDGDD en el que se recogen las infracciones consideradas graves en la sección v) especifica en este caso, el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con lo dispuesto en la normativa del RGPD y LOPDGDD.  

• Infracciones por incumplimiento del RGPD: con multas de hasta 10 millones de euros como máximo o tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

¿Quién debe nombrar un delegado de protección de datos?  

¿Quién puede ser DPD? 

El Delegado de Protección de Datos (DPD) interno puede ser un empleado designado por la organización para supervisar y garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) dentro de la propia empresa. A diferencia de un DPD externo, que opera como un consultor independiente, el DPD interno forma parte de la plantilla y está plenamente integrado en la estructura organizativa. 

La función del Delegado de Protección de Datos (DPD) puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.  

Además, en el artículo 37.5 del RGPD se recoge que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 

¿Debe comunicarse el nombramiento del Delegado de Protección de Datos (DPD) a la AEPD? 

Los responsables y encargados del tratamiento comunicarán en un plazo de diez días a la Agencia Española de Protección de Datos (AEPD) o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligados a su designación como en el caso en que sea voluntaria.  

Conclusión

El Delegado de Protección de Datos (DPD) es una figura clave en el cumplimiento del Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Su papel como garante de la protección de datos en las organizaciones es esencial para asegurar el respeto de los derechos fundamentales de las personas en el tratamiento de sus datos personales, así como evitar posibles sanciones por incumplimiento. 

Designar un DPD no solo es una obligación para ciertos sectores y actividades, sino también una oportunidad para que las organizaciones refuercen su compromiso con la privacidad y la seguridad de los datos.  

Si tu organización está obligada a nombrar un DPD o si consideras que podría beneficiarse de su figura, es fundamental actuar con celeridad y asegurarse de cumplir con todos los requisitos legales. En Grupo CFI contamos con un equipo de expertos altamente cualificados y certificados como DPD por la AEPD, con amplia experiencia en consultoría y auditoría para empresas y administraciones públicas. Si lo necesitas, podemos asumir el rol de Delegado de Protección de Datos en tú empresa y ayudarte a garantizar el cumplimiento normativo.