Encontrar un DPD cualificado es crucial porque está involucrado en todos los aspectos del marco de protección de datos de una organización y debe disponer de una amplia variedad de habilidades, además de las requeridas por el RGPD, como la experiencia en la protección de datos y la gestión del riesgo de la información.
En general, hay que considerar dos opciones cuando se elige un DPD. Puedes contratar a alguien a tiempo completo dentro de tu organización, o puedes subcontratar a un contratista. En cualquier caso, es importante investigar al DPD, ya que será responsable de una amplia gama de actividades.
Por este motivo, hemos elaborado esta lista de verificación para ayudarte a identificar qué debes buscar a la hora de contratar a un Delegado de Protecció de Datos (DPD) para tu empresa.
🚀 Salta directamente a Qué hay que tener en cuenta a la hora de elegir a tu DPD (según los requisitos del RGPD) →
Según el RGPD, el Delegado de Protección de Datos (DPD) ayuda al responsable o al encargado del tratamiento a establecer, aplicar y supervisar una estrategia de protección de datos conforme a los requisitos legales.
El DPD también debe tener conocimientos sobre la gestión de los procesos informáticos, la seguridad de los datos y otras cuestiones esenciales relacionadas con el tratamiento de datos personales y sensibles.
El trabajo del DPD conlleva muchas responsabilidades, entre ellas actuar como punto de contacto de la organización con los organismos de supervisión, educar a los trabajadores en las obligaciones de conformidad legal y formar al personal encargado del tratamiento de datos.
Además, el DPD realiza auditorías de seguridad rutinarias y ofrece recomendaciones para fomentar el cumplimiento de las leyes y las normas del sector.
La obligación de designar un DPD se establece en el artículo 37 del Reglamento General de Protección de Datos (RGPD). En general, se trata de un requisito que deben cumplir todas las empresas a las que se aplica el RGPD y que tratan una cantidad significativa de datos personales, independientemente de si se hace en calidad de responsable o de encargado del tratamiento de datos.
El RGPD exige la *designación de un DPD* en las siguientes circunstancias:
👉 Cuando exista un seguimiento regular y sistemático a gran escala de los usuarios (por ejemplo, el tratamiento con sistemas de videovigilancia);El nombramiento de un DPD depende no solo del número real de empleados, sino también de la naturaleza de la actividad de tratamiento de datos. Si tu organización no entra en una de estas categorías, no está obligada a designar un DPD.
Credibilidad
Experiencia jurídica
Experiencia en informática
Capacidad de comunicarse claramente
Poseer iniciativa
Capacidad de liderazgo
Experiencia internacional
Según el RGPD, tu DPD debe:
✅ ser imparcial y evitar los conflictos de intereses.
Los DPD no deben actuar en función de las comisiones de los proveedores de servicios, o la naturaleza de esta relación entrará en el principio de conflicto de intereses.
Esto es importante, ya que garantiza que estás recibiendo el mejor asesoramiento en función de las necesidades de tu negocio y no del interés personal.
✅ Ser leal, tanto si está en tu organización a tiempo completo como si es un contratista externo.
El DPD solo puede desempeñar una función dentro de tu organización. Por ejemplo, un DPD que supervisa la seguridad de la información entrará en conflicto si sus evaluaciones de riesgos de seguridad y estrategias de mitigación se evalúan en el contexto de su función de DPD. Si has subcontratado a tu DPD, asegúrate de que tenga el tiempo necesario para dedicarse a tu organización.
🗣 El RGPD especifica que los DPD están autorizados a realizar otras tareas siempre y cuando:
dichas tareas y funciones no supongan un conflicto de intereses.
Según el RGPD, tu DPD debe:
✅ poseer un nivel de conocimientos sobre la legislación de protección de datos en función del tipo de tratamiento realizado.
Esto significa que los DPD deben ser abogados certificados e informados de todas las leyes de privacidad en cada país en el que su organización realiza negocios o subcontrata actividades.
🗣 El RGPD especifica:
“una persona con conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos” que asista al responsable o al encargado del tratamiento, que esté “obligado a guardar los secretos o la confidencialidad” y que “desempeñe sus funciones y tareas de manera independiente”.
Según el RGPD, tu DPD debe:
✅ proporcionar orientación sobre las evaluaciones de riesgos, las contramedidas y los análisis de los efectos de la protección de datos;
✅ tener experiencia práctica sustancial en evaluaciones de privacidad, certificaciones/sellos de privacidad;
✅ disponer de certificaciones de normas de seguridad de la información; y
✅ poseer conocimientos sustanciales sobre privacidad, evaluación de riesgos de seguridad y mitigación de las mejores prácticas.
Estas habilidades deben fundamentarse en amplias auditorías de sistemas de información (SI), infraestructura informática y experiencia en programación.
Según el RGPD, tu DPD debe:
✅ poseer habilidades de liderazgo y gestión de proyectos para poder solicitar, organizar y dirigir los recursos necesarios para sus responsabilidades;
✅ evaluar de forma crítica sus conocimientos para identificar cualquier laguna, y luego solicitar formación en esas áreas; y
✅ poseer una amplia gama de conocimientos empresariales y estar lo suficientemente familiarizado con los sectores del responsable y el encargado del tratamiento de datos para comprender cómo debe tratarse la privacidad para que encaje perfectamente con la forma en que cada empresa desarrolla, comercializa y genera dinero con sus productos y servicios.
🗣 El RGPD especifica:
El responsable y el encargado del tratamiento apoyarán al DPD … proporcionando los recursos necesarios para llevar a cabo esas tareas y el acceso a los datos personales y a las operaciones de tratamiento, además de para mantener sus conocimientos especializados.
Según el RGPD, tu DPD debe:
✅ ser una persona con iniciativa, con los conocimientos y las capacidades para realizar las funciones que se le asignan sin supervisión y la capacidad de localizar la información que necesita;
✅ poseer una presencia a nivel de la junta directiva y la capacidad de comunicarse con profesionales corporativos experimentados que pueden no estar familiarizados con las funciones del DPD.
🗣 El RGPD especifica:
El responsable y el encargado del tratamiento se asegurarán de que el DPD no reciba instrucciones en relación con el ejercicio de esas funciones… El DPD dependerá directamente del nivel directivo más alto del responsable o del encargado del tratamiento.
Según el RGPD, tu DPD debe:
✅ gestionar las solicitudes y reclamaciones de los interesados en términos claros, no en jerga legal o técnica.
✅ Tener habilidades tanto en la formación jurídica como en la sensibilización para asegurarse de que todos los interesados son conscientes de sus derechos y obligaciones, y para asistir en la formación de otras personas que ayuden a los interesados con solicitudes específicas.
🗣 El RGPD especifica que los interesados pueden ponerse en contacto con el DPD:
con respecto a todas las cuestiones relacionadas con el tratamiento de sus datos personales y con el ejercicio de sus derechos.
Tu DPD debe:
✅ relacionarse con responsables y encargados del tratamiento de muchas culturas y países;
✅ gestionar diversas formas de pensar y hacer negocios y poseer la capacidad de adaptación para dirigir estas variaciones hacia una buena conclusión.
En última instancia, la decisión de elegir un DPD cualificado con estas habilidades requeridas corresponde a cada organización.
Consulta los otros pasos aquí 👉
5 cosas que debes hacer ahora para cumplir con el RGPD