10/29/2018

Delegado de
Protección de
Datos.

Documentación e
Informática Jurídica.

Carlos Pereira Duran;NP 120254

Delegado de Protección de Datos.

Tabla de contenido
Introducción. ............................................................................................................... 2

La figura del Delegado de Protección de Datos. ......................................................... 3

Normativa del RGPD en el ámbito empresarial y gubernamental. .............................. 4

Conocimientos y habilidades del DPD. ....................................................................... 6

Funciones establecidas en el Reglamento. ................................................................... 7

Posición de un DPD. .................................................................................................... 9

Sujetos afines a un DPD. ........................................................................................... 10

Conclusiones. ............................................................................................................. 10

1|Página
 Delegado de Protección de Datos.

Introducción.
A lo largo de este trabajo se pretende aclarar las dudas pertinentes a la nueva figura
instaurada en el Reglamento General de Protección de Datos, el Delegado de Protección
de Datos, establecer los campos de trabajo de esta figura de protección en los ámbitos
gubernamentales y privados; la posición en la que se encuentra en relación con el
reglamento las funciones atribuidas por el reglamento y finalmente las figuras de
protección de datos afines a este.

Primeramente, se establece que el concepto de Delegado de Protección de Datos fue

creado en 1995 por la Directiva 95/46/CE, esta directiva proporcionaba unos matices muy
particulares respecto a esta figura, pues, cada país tenía la capacidad de regular a esta
figura de manera general y prácticamente sin ninguna norma. Sin embargo, el gran aporte
que se pudo apreciar de este delegado en la Unión Europea con respecto a la protección
de datos hizo que organismos internacionales propusieran la inscripción de esta figura en
el Reglamento General de Protección de Datos, la cual entro en vigor el año 2016.

Posteriormente, en mencionado Reglamento se establecen las situaciones, en las cuales

organismos privados como públicos se encontrarían en la obligación de contratar un
delegado de protección de datos, este precepto se plasmó en el artículo 37 del Reglamento
General de Protección de Datos.

Seguidamente, en este trabajo se detalla la posición correcta en la que se debe situar al

delegado de protección de datos dentro de la jerarquía organizacional de las entidades
públicas como privadas, además, del riesgo del desempeño de sus funciones y la
obligación de notificar las irregularidades de la entidad en la que trabaje a la dirección de
esta misma.

Por último, se encuentran las figuras afines al delegado como el responsable y el

encargado del tratamiento de datos personales, quienes, a pesar de tener una función en
común, estos desempeñan su trabajo de distintas formas, el responsable del tratamiento
es el director, quien toma las decisiones respectivas a la manipulación de los datos
persones, mientras que el encargado es un individuo u organismo que desempeña el
manejo de los datos personales.

2|Página
 Delegado de Protección de Datos.

La figura del Delegado de Protección de Datos.

Es posible instituir como base a la Carta de los Derecho Fundamentales de la Unión

Europea, específicamente a el artículo 8,1 que establece que “toda persona tiene derecho
a la protección de los datos de carácter personal que le conciernan”, en el mismo sentido
se puede establecer una relación con el Reglamento General de Protección de Datos (en
adelante, RGPD) de la Unión Europea, la cual, inició su aplicación el pasado 25 de mayo
del presente año. Este reglamento presenta la necesidad de que se reconozcan poderes
para supervisar y garantizar el cumplimiento de las normas relativas a la protección de
los datos de carácter personal. Por lo tanto, una de las medidas introducidas por el RGPD
es la instauración del Delegado de Protección de Datos (en adelante, DPD).

El inicio de esta figura se instaura el 24 de octubre de 19995, cuando se aprueba la

Directiva 95/46/CE en la que ya se preveía de manera muy parcial la figura del DPD en
el artículo 18 apartado segundo, sin embargo, la aplicación de este artículo por parte de
los miembros de la Unión Europea tales como Alemania, Francia y Holanda, tuvo una
regulación muy dispar, pues estos países tenían la facultad de regular la figura del DPD
con sus propios términos, lo que conllevaba, a un inestabilidad en la protección de datos.

Pero, tras verse la efectividad de esta medida de protección la Confederación de

Organizaciones Europeas de Protección de Datos (en adelante, CEDPD), con la Comisión
Europea y el Grupo de Trabajo de Articulo 29, propusieron implementar la actual
regulación del DPD, la que se plasmó en la Sección Cuarta del RGPD denominado como
“Delegado de Protección de Datos”, esta medida fue aplicada de manera general en la
Unión Europea el 24 de mayo de 2016 que entró en vigor y que no estuvo sujeto a
aplicación hasta el 25 de mayo de 2018.

Con el objetivo de matizar la actuación del DPD, se puede señalar lo dispuesto en el

considerando 97 del RGPD, el delegado puede ser definido como un supervisor que ayuda
al encargado o responsable de tratamiento con el objetivo de cumplimentar el reglamento
exigido legalmente, por lo tanto, se puede citar lo siguiente:

«Al supervisar la observancia interna del presente Reglamento, el responsable o el

encargado del tratamiento debe contar con la ayuda de una persona con conocimientos
especializados del Derecho y la práctica en materia de protección de datos si el
tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras
autoridades judiciales independientes en el ejercicio de su función judicial, si el
tratamiento lo realiza en el sector privado un responsable cuyas actividades principales
consisten en operaciones de tratamiento a gran escala que requieren un seguimiento
habitual y sistemático de los interesados, o si las actividades principales del responsable
o del encargado consisten en el tratamiento a gran escala de categorías especiales
de datos personales y de datos relativos a condenas e infracciones penales. En el sector
privado, las actividades principales de un responsable están relacionadas con sus
actividades primarias y no están relacionadas con el tratamiento de datos personales»

De esta manera, queda aclarada la figura del DPD, pues, se consideran ambos espacios
de trabajo, primeramente, el desempeño laboral en los organismos públicos y
posteriormente, el sector privado, por lo tanto, solo queda establecer el campo de
actuación del DPD.

3|Página
 Delegado de Protección de Datos.

Normativa del RGPD en el ámbito empresarial y gubernamental.

Dentro del RGPD se incorpora las supuestos de actuación del DPD, específicamente
en la Sección Cuarta, contemplando primeramente los artículos 37 a 39 que se establecen
como las características y funciones de esta figura, seguido de los artículos 40 y 41 donde
se reglamenta los códigos de conducta y, por último, los artículos 42 y 43 donde se
plasman los requisitos y las entidades que certifican a los DPD.

El primer concepto sobre la actuación del DPD, consiste en que esta figura no será
obligatoria para todas los encargados o responsables del tratamiento de datos, por
consiguiente, el artículo 37.1 del RGPD establece claramente los supuestos en los que
será de obligado cumplimiento:

«El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los
tribunales que actúen en ejercicio de su función judicial;

las actividades principales del responsable o del encargado consistan en operaciones

de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una
observación habitual y sistemática de interesados a gran escala, o

las actividades principales del responsable o del encargado consistan en el tratamiento

a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y
de datos relativos a condenas e infracciones penales a que se refiere el Art. 10. »

En el primer apartado del precepto queda totalmente claro, ya que se refiere a un

organismo público y no hay mayor explicación, sin embargo, los dos últimos apartados
no quedan totalmente precisados por el RGPD. Por lo tanto, ha de hacerse una matización
los dos últimos apartados de este precepto; entonces, haciendo referencia a el apartado
segundo del artículo 37, éste toma un aspecto de edicto para quienes están sujetos al
“tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el
desarrollo es esta misma”; por consiguiente, el RGPD instaura la figura del DPD dentro
del ámbito privado siempre que resulte necesario, sin embargo, más adelante se verá que
puede ser, de igual manera, voluntario. Entonces, esta figura será capaz de tener una
relación comercial o laboral con el responsable o encargado del tratamiento de datos.

Sin embargo, es necesario mencionar que los especialistas en la materia de protección

de datos señalaron que la contratación externa de una figura como es el DPD dependerá
de las características de la organización, además, de las características de los datos que
vayan a ser manipulados, al igual que el tratamiento exigido para cada uno de estos casos.

Seguidamente, es inevitable eludir a qué se hace mención cuando se habla de “datos a

gran escala1”, pues no consiste solamente en la manipulación de datos de manera general,
pues, aquí influye no solo el volumen o el número de este, sino también el alcance
geográfico y el tiempo de permanencia de estos datos por la empresa.

1
Definicion proveniente del RGPD.

4|Página
 Delegado de Protección de Datos.

Por último, las empresas obligadas a contratar a un DPD deberán realizar un

seguimiento regular, en otras palabras, una control continuado y sistemático, o lo que es
lo mismo, organizado y metódico. Este concepto no se hace referencia solamente a las
empresas que manipulan datos personales a través de un tratamiento on-line, sino a las
empresas que realicen un tratamiento de datos con total independencia de los mecanismos
utilizados para esta labor.

A modo de ejemplificar estos conceptos, el artículo 34 del Proyecto de Ley General de

Protección de Datos (en adelante, PLOPD) prestablece algunos organismos que están
obligados a contratar un DPD, “los responsables o encargados del tratamiento no
incluidos en el párrafo posterior podrán designar de manera voluntaria un delegado de
protección de datos2”, los siguiente cuentan con dicha obligación:

 «Los colegios profesionales y sus consejos generales.

 Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 6/2006, de
3 de mayo, de Educación, y las Universidades públicas y privadas.
 Las entidades que exploten redes y presten servicios de comunicaciones electrónicas,
cuando traten habitual y sistemáticamente datos personales a gran escala.
 Los prestadores de servicios de la sociedad de la información cuando elaboren a gran
escala perfiles de los usuarios del servicio.
 Las entidades incluidas en el art. 1 de la Ley 10/2014, de 26 de junio, de ordenación,
supervisión y solvencia de entidades de crédito.
 Los establecimientos financieros de crédito.
 Las entidades aseguradoras y reaseguradoras.
 Las empresas de servicios de inversión.
 Los distribuidores y comercializadores de energía eléctrica.
 Las entidades responsables de ficheros comunes para la evaluación de la solvencia
patrimonial y créditos o de los ficheros comunes para la evaluación del fraude.
 Las entidades que desarrollen actividades de publicidad y prospección comercial,
incluyendo las de investigación comercial y de mercados.
 Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de
los pacientes.
 Las entidades que tengan como uno de sus objetos la emisión de informes comerciales
que puedan referirse a personas físicas.
 Los operadores que desarrollen la actividad de juego a través de canales electrónicos,
informáticos, telemáticos e interactivos.
 Quienes desempeñen las actividades reguladas en la Ley 5/2014, de 4 de abril, de
Seguridad Privada.»

Una vez explicado la aplicación del artículo 37.3 del RGPD, también es adecuado hacer
mención al lado gubernamental, pues este reglamento añade un apartado para los
organismos públicos; entonces, el artículo 37.3 establece lo siguiente:

«Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo

público, se podrá designar un único delegado de protección de datos para varias de
estas autoridades u organismos, teniendo en cuenta su estructura organizativa y
tamaño.»

2
Artículo 34 apartado 2 del PLOPD.

5|Página
 Delegado de Protección de Datos.

De esta manera, el RGPD tiene previsto que cuando el responsable o el encargado del
tratamiento de datos sea una autoridad gubernamental, este pueda designar un “Delegado
de Protección de Datos”. Esta previsión está relacionada con una de las principales
cuestiones a solucionar con relación con el DPD dentro de los organismos públicos, pues
esta cuestión consiste en determinar el lugar del DPD dentro de las organizaciones
administrativas, este punto no es un tema sencillo para las organizaciones públicas porque
además de establecer un lugar para esta figura, también se deber ver el orden jerárquico
que ocupará, sin mencionar que ese puesto debe tener una conexión directa e
independiente con la administración de ese organismo

Finalmente, cabe señalar que es posible designar un DPD para, por ejemplo, una
consejería, un ministerio o un ayuntamiento tal y como lo establece el RGPD. Por otra
parte, “su adscripción a la estructura gubernamental debe hacerse en órganos con
competencias y funciones horizontales3”, de la misma manera que lo señala la Agencia
Española de Protección de Datos (en adelante, AEPD), al mismo tiempo, el puesto de
trabajo debe llevar consigo el poder de relacionarse con la dirección de organismo.

Conocimientos y habilidades del DPD.

Dentro del renombrado artículo 37, específicamente en el apartado 5 se establece que

el «será designado atendiendo a sus cualidades profesionales y, en particular, a sus
conocimientos especializados del Derecho y la practica en materia de protección de dato
su a su capacidad de desempeñar las funciones indicadas en el artículo 39».

Por lo tanto, se pueden establecer el primer nivel de conocimientos, éste, aunque no

esté concretamente detallado debe ser acorde con la complejidad, cantidad y sensibilidad
de los datos que una organización privada o gubernamental trata. A modo de ejemplificar,
el DPD puede necesitar una mayor cantidad de conocimientos cuando se manipulen datos
especialmente complejos o con una alta sensibilidad; además, existe la posibilidad de que
el trato de los datos se transfiera fuera de la Unión Europea o si esas transferencias fueran
solo esporádicas, por lo que debe elegirse un DPD con detalle y con mucho cuidado
debido a las infracciones que la organización podría sufrid.

El segundo nivel de conocimientos son las cualidades profesionales, sin embargo, el

articulo 37.5 no aclarece cuales deben ser las cualidades profesionales que se deben tener
en cuenta a la hora de contratar un DPD, por consiguiente, el Grupo de Trabajo del
Articulo 29 esclarece que un factor importante es que tenga conocimientos sobre la
legislación, practicas nacionales y europeas en relación con la materia de protección de
datos y una especial, asimismo, una profunda comprensión del RGPD.

Por último, todo conocimiento relacionado con el “sector empresarial y de la

organización del responsable del tratamiento es también útil4”. Igualmente, el DPD debe
conocer las operaciones de tratamiento que se llevan a cabo, tanto como de los “sistemas

3
Datos obtenidos de la Agencia Española de Protección de Datos

4
Recomendaciones del Grupo de Trabajo del Articulo 29.

6|Página
 Delegado de Protección de Datos.

de información como de las necesidades de seguridad y protección de datos del

responsable o encargado del tratamiento”.

Funciones establecidas en el Reglamento.

El análisis de esta figura con relación a sus funciones debe partir obligatoriamente del
artículo 39 del RGPD; estas funciones se detallan a continuación:
a) «informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de las obligaciones que les incumben en
virtud del presente Reglamento y de otras disposiciones de protección de datos de
la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras
disposiciones de protección de datos de la Unión o de los Estados miembros y de
las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto
relativa a la protección de datos y supervisar su aplicación de conformidad con el
artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas
al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar
consultas, en su caso, sobre cualquier otro asunto.»

En virtud de las funciones generales señalas anteriormente, es pertinente puntuar

algunas de las funciones que, además, del asesoramiento y supervisión están implicadas
intrínsecamente como, por ejemplo:

 «Diseño e implantación de políticas de protección de datos

 Auditoría de protección de datos
 Establecimiento y gestión de los registros de actividades de tratamiento
 Análisis de riesgo de los tratamientos realizados
 Implantación de las medidas de protección de datos desde el diseño y protección
 Realización de evaluaciones de impacto sobre la protección de datos
 Relaciones con las autoridades de supervisión
 Implantación de programas de formación y sensibilización del personal en materia
de protección de datos5»

Conjuntamente, es propicio mencionar que, además, de las funciones generales que se

encuentran en este artículo, es necesario que el DPD sea consciente de su función y sobre
todo su obligación que le exige el artículo 39.2 del RGPD; mencionado precepto exige
que el DPD actúe siendo consiente de los riesgos relativos con su desempeño laboral,
especialmente con el alcance, los fines, la naturaleza y el contexto a la hora de ser
empleado como esta nueva figura de protección.

5
Funciones generales integradas por la Agencia Española de Protección de Datos.

7|Página
 Delegado de Protección de Datos.

A su vez, al verse las funciones del DPD como acciones mínimas el AEPD señala que
esta figura tendrá la potestad de participar activamente de las aplicaciones sobre
protección de datos, sobre todo cuando consista en temas como: la planificación política
de las protecciones de datos, las cuales deben incluir “evaluaciones, metodologías,
auditorias y medidas para mitigar riesgos”

De igual importancia, el Anteproyecto de Ley Orgánica de Protección de Datos de

Carácter Personal (en adelante, Anteproyecto) complementa y amplía las funciones del
DPD en su artículo 37.5, pues, puntea que en caso de cualquier vulneración a la normativa
de protección de datos, éste se encuentre, indistintamente, en la obligación de informar
a los órganos de administración sobre la pertinente falta, sin considerar la implicación
que esta acción pueda tener para el responsable o encargado del tratamiento; a la par, el
LOPD ratifica en su articulado 36.4 lo mencionado en el Anteproyecto, este artículo
establece lo siguiente:

«Cuando el delegado de protección de datos aprecie la existencia de una vulneración

relevante en materia de protección de datos lo comunicará inmediatamente a los
órganos de administración y dirección del responsable o el encargado del tratamiento.»

Seguidamente, el desempeño de sus funciones, como lo prevé el RGPD podrá ser a

tiempo completo o a tiempo parcial, este aspecto dependerá de la magnitud de los
organismos en los que desarrolle su trabajo, pero por lo general el DPD deberá
desempeñar un trabajo a jornada completa. Incluso podría ser posible que esta figura sea
nombrada por una entidad que se dedique específicamente a la protección de datos;
aunque, en organizaciones de menor tamaño el DPD compagine sus funciones con otras.
Si se trata de una organización pequeña es fundamental tener cuidado y evitar el conflicto
de intereses entre sus diferentes funciones, pues el DPD no podrá ser la misma persona
quien desempeñe la toma de decisiones sobre el tratamiento de datos o sobre el modo en
el que estos serán tratados, esto debido a la obviedad de esta particular figura, es un agente
de supervisión.

Por último, en el artículo 37.7 del RGPD requiere que el responsable o encargado del
tratamiento publique los datos de contacto del DPD y comunique los datos de contacto a
las correspondientes autoridades de control, en España, a la AEPD.

El objetivo que se persigue es el de garantizar que los interesados dentro, asi como
fuera de la organización, además de las autoridades de control que necesiten contactar
con el DPD de forma directa, fácil e instantánea. Además, el DPD, en conformidad con
el artículo 38.5 del RGPD estará obligado a mantener en secreto todo lo que respecte con
el desempeño de sus funciones dentro de la organización.

Finalmente, el articulo 37.7 no requiere que dentro de los datos de contacto del DPD
se incluya el nombre, aunque el hecho de hacerlo seria recomendable, sin embargo, esta
decisión corresponde al encargado o responsable del tratamiento y al DPD de decidir si
este dato debe ser integrado. Adicionalmente el Grupo de Trabajo del Artículo 29
recomienda que las organizaciones informen a sus empleados de los datos de contacto del
DPD para cualquier consulta o duda.

8|Página
 Delegado de Protección de Datos.

Posición de un DPD.

La posición de un DPD puede ser presentada de una manera bastante breve; según el
RGPD estas características de esta nueva figura de protección de datos se encuentran
plasmadas en el artículo 38, por lo tanto, lo más efectivo es hacer un listado de estas. Las
posiciones son las siguientes:
a) «El responsable y el encargado del tratamiento garantizarán que el delegado de
protección de datos participe de forma adecuada y en tiempo oportuno en todas
las cuestiones relativas a la protección de datos personales.
b) El responsable y el encargado del tratamiento respaldarán al delegado de
protección de datos en el desempeño de las funciones mencionadas en el artículo
39, facilitando los recursos necesarios para el desempeño de dichas funciones y el
acceso a los datos personales y a las operaciones de tratamiento, y para el
mantenimiento de sus conocimientos especializados.
c) El responsable y el encargado del tratamiento garantizarán que el delegado de
protección de datos no reciba ninguna instrucción en lo que respecta al desempeño
de dichas funciones. No será destituido ni sancionado por el responsable o el
encargado por desempeñar sus funciones. El delegado de protección de datos
rendirá cuentas directamente al más alto nivel jerárquico del responsable o
encargado.
d) Los interesados podrán ponerse en contacto con el delegado de protección de
datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus
datos personales y al ejercicio de sus derechos al amparo del presente
Reglamento.
e) El delegado de protección de datos estará obligado a mantener el secreto o la
confidencialidad en lo que respecta al desempeño de sus funciones, de
conformidad con el Derecho de la Unión o de los Estados miembros.
1. El delegado de protección de datos podrá desempeñar otras funciones y
cometidos. El responsable o encargado del tratamiento garantizará que dichas
funciones y cometidos no den lugar a conflicto de intereses.»

Estos elementos deben ser altamente tomados en consideración a la hora de identificar

la ubicación del DPD, bien si este es destinado para una empresa o un organismo público,
asimismo, con el objetivo de concreta aún más este aspecto sobre la figura de protección
de datos, es conveniente identificar cuatro aspectos que sobresalen una vez sea obligatorio
o voluntario la contratación de esta figura de protección de datos.

Primeramente, es necesario revisar la cualificación específica, “teniendo en cuenta los

conocimientos de la legislación, las prácticas y en particular a la ausencia de conflicto de
intereses6”; un DPD interno o externo, puede trabajar juntamente con el responsable o
encargado del tratamiento, o puede ser designado a través de una empresa mediante un
contrato estipulado. También, esta figura debe tener una identidad publica, la
identificación del DPD ha de ser comunicado a la Autoridad de Control por el responsable
o encargado del tratamiento. Por último, el DPD tiene que tener libertad de actuación, en
el RGPD establece que esta figura debe actuar con total independencia, por lo que no

6
Característica destacada por la empresa Conversia.

9|Página
 Delegado de Protección de Datos.

puede recibir ninguna tarea relativa a sus obligaciones por parte del responsable o del
encargado del tratamiento.

Sujetos afines a un DPD.

Existen dos figuras similares al DPD contempladas dentro del RGPD, la primera es el
responsable del tratamiento, el segundo es el encargado del tratamiento de datos. En
relación con la primera figura, el responsable del tratamiento de datos puede ser una
persona física o jurídica, autoridad pública, servicio u otro organismo que a fin de su
deber ejerce actividad sobre datos personales7; en otras palabas, este individuo decide
“por qué” y “cómo” deberán ser tratados los datos, por lo tanto, es quien decide establece
las funciones que sus empleados desempeñaran con los datos personales.

En adicción, se puede presentar el caso cuando existan dos o más responsables del
tratamiento de datos, esto puede consistir en que los responsables sean varios individuos
o se distribuya la obligación con una o más organizaciones de igual manera; en este caso
se los denominaría “corresponsables del tratamiento”; esta situación se encuentra
plasmada en el artículo 26 del RGPD. Los corresponsables deben redactar un acuerdo
donde quede detallado las funciones de cada individuo, “los principales aspectos del
acuerdo deberán ser informados a las personas” cuyos datos serán manipulados.

Haciendo mención a la segunda figura, el encargado del tratamiento se encargará de

los datos personales únicamente en el supuesto de que el responsable lo designe. Por lo
general el encargado del tratamiento habitualmente suele ser un externo a la empresa u
organismo, sin embargo, “cuando existen dos grupos de empresas, una de estas puede
actuar como el encargado del tratamiento de datos de la otra”. Además, de acuerdo con
lo prescrito en el artículo 28 del RGPD, “el encargado del tratamiento no recurrirá a otro
encargado sin la autorización previa por escrito, específica o general, del responsable…”.
Una de las funciones más comunes del encargado del tratamiento es ofrecer soluciones
técnicas o informáticas, por ejemplo, el almacenamiento en la nube.

Conclusiones.
El Delegado de Protección de Datos a pesar de ser una figura totalmente nueva en el
ordenamiento de la protección, este resulta ser un gran paso para los organismos públicos
como privados en la Unión Europea, que como fin de su actividad tengan que manipular
datos personales. Esta figura puede ser definido como un supervisor que ayuda al
encargado o responsable de tratamiento con el objetivo de cumplimentar el reglamento
exigido legalmente, además, de apoyar al responsable o encargado del tratamiento de
datos.

Las funciones de esta figura provienen, principalmente de la obligación que tengan las
entidades de contratar un delegado, por lo que, están obligados todas las entidades que al

7
Definición presentada por la Comisión Europea.

10 | P á g i n a
 Delegado de Protección de Datos.

tratamiento de los datos lo realice un organismo público, la manipulación de datos a gran

escala y quienes necesiten una supervisión sistemática y habitual.

Y, con respecto con el posicionamiento de esta figura, el delegado ha de tener una

conexión directa con la administración de la entidad para la cual este desempeñe su
trabajo, lo que conlleva a decir que la función del delegado será más eficiente e
independiente.

Finalmente, a pesar de existir figuras similares en el Reglamento, ninguna de esta

desarrolla la función de supervisión, por lo tanto, esta figura es muy única en su ámbito
y se podría llegar a decir que indispensable en los casos de manipulación de datos en
masa.

11 | P á g i n a
 Delegado de Protección de Datos.

Webgrafía.
Agencia Española de Protección de Datos. (s.f.). EL DELEGADO DE PROTECCION DE DATOS EN
LAS ADMINISTRACIONES PUBLICAS. Recuperado 4 diciembre, 2018, de
https://www.aepd.es/404.html

Diariolaley, & Rocio, M. (s.f.). Directrices del GT29 sobre el delegado de protección de datos:
figura clave para la responsabilidad. Recuperado 4 diciembre, 2018, de
http://diariolaley.laley.es/home/DT0000240801/20170112/Directrices-del-GT29-
sobre-el-delegado-de-proteccion-de-datos-figura-clave-para-

GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. (s.f.). Directrices sobre
los delegados de protección de datos (DPD). Recuperado 4 diciembre, 2018, de
http://apdcat.gencat.cat/web/.content/03-
documentacio/Reglament_general_de_proteccio_de_dades/documents/Guidelines-
on-Data-Protection-Officers.pdf

Iberley. (s.f.-a). DELEGADO DE PROTECCIÓN DE DATOS. Recuperado 4 diciembre, 2018, de

https://www.iberley.es/temas/delegado-proteccion-datos-dpo-
62733?term=delegado+de+proteccion+de+datos&query=delegado+de+proteccion+de
+datos&noIndex

Iberley. (s.f.-b). Funciones y posición dentro de la entidad, del delegado de protección de datos
en el Reglamento General de Protección de Datos (RGPD). Recuperado 4 diciembre,
2018, de https://www.iberley.es/temas/funciones-posicion-entidad-delegado-
proteccion-datos-dpo-rgpd-
62735?term=delegado+de+proteccion+de+datos&query=delegado+de+proteccion+de
+datos&noIndex

Iberley. (s.f.-c). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos) - Diario Oficial de la
Unión Europea de 04-05-2016. Recuperado 4 diciembre, 2018, de
https://www.iberley.es/legislacion/reglamento-ue-2016-679-27-abr-doue-reglamento-
general-europeo-proteccion-datos-gdpr-rgpd-24473701

Iberley. (s.f.-d). Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales por parte de las autoridades competentes para fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo - Diario Oficial de la Unión Europea de 04-05-
2016. Recuperado 4 diciembre, 2018, de https://www.iberley.es/legislacion/directiva-
ue-2016-680-27-abr-doue-proteccion-personas-fisicas-respecta-tratamiento-datos-
personales-autoridades-competentes-fines-prevencion-investigacion-deteccion-
enjuiciamiento-infracciones-penales-ejecucion-sanciones-penal-
24473702#ancla_9354146

12 | P á g i n a
 Delegado de Protección de Datos.

Morzon, H. (s.f.). LA NATURALEZA DE LA RELACIÓN LABORAL DEL "DELEGADO DE PROTECCIÓN

DE DATOS". Recuperado 4 diciembre, 2018, de
https://www.upf.edu/documents/3885005/58976718/Delegado_Proteccion_+HMonz
on.pdf/9938ac2d-e15b-f8aa-d403-cff0ff4b7e7d

13 | P á g i n a