| Informe | 2022-0096 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre el Delegado de Protección de Datos (DPD)**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posición jurídica y funciones del **Delegado de Protección de Datos (DPD)**, destacando su papel clave en el cumplimiento del **Reglamento General de Protección de Datos (RGPD)** y la **Ley Orgánica 3/2018 (LOPDGDD)**. El documento clarifica la distinción entre las responsabilidades del **responsable del tratamiento**, el **encargado del tratamiento** y el **DPD**, así como los límites legales en la organización interna de las entidades.
—
#### **1. Distinción entre responsables, encargados y DPD**
El RGPD establece tres figuras clave en el tratamiento de datos:
– **Responsable del tratamiento** (art. 4.7 RGPD): Persona física o jurídica que determina los fines y medios del tratamiento.
– **Corresponsable del tratamiento** (art. 26 RGPD): Dos o más responsables que deciden conjuntamente los fines y medios.
– **Encargado del tratamiento** (art. 4.8 RGPD): Persona que trata datos por cuenta del responsable.
El **DPD** no es responsable del cumplimiento normativo de la entidad, sino que:
– **Asesora** al responsable y al encargado en materias de protección de datos.
– **Supervisa** el cumplimiento de las obligaciones legales.
– **Actúa como punto de contacto** con la AEPD y los interesados.
– **Coopera con la autoridad de control**.
El RGPD establece que el **responsable o encargado** es quien debe garantizar el cumplimiento (principio de *responsabilidad proactiva*), mientras que el DPD **no es personalmente responsable** por incumplimientos (art. 5.2 y 39 RGPD). Su función es de **apoyo y supervisión**, no de toma de decisiones.
—
#### **2. Funciones y limitaciones del DPD**
Las funciones del DPD, según el **art. 39 RGPD**, son:
– **Asesoramiento**: Informar al responsable sobre obligaciones legales y supervisar políticas internas.
– **Supervisión**: Velar por el cumplimiento del RGPD, incluyendo formación del personal y auditorías.
– **Evaluación de impacto (EIPD)**: Asesorar en casos de alto riesgo.
– **Cooperación con la AEPD**: Actuar como intermediario en consultas y reclamaciones.
– **Seguimiento de incidentes**: Gestionar notificaciones de brechas de seguridad (art. 33 RGPD).
**Límites clave**:
– El DPD **no puede decidir los fines y medios del tratamiento** (evitar conflictos de interés).
– No debe recibir instrucciones en el ejercicio de sus funciones (art. 38.3 RGPD).
– Su **independencia** es esencial: no puede ser destituido ni sancionado por desempeñar sus funciones, salvo dolo o negligencia grave (art. 36.2 LOPDGDD).
– Debe **rendir cuentas directamente al más alto nivel jerárquico** (ej.: consejo de administración).
—
#### **3. Independencia y conflictos de interés**
La AEPD subraya que el DPD debe actuar con **autonomía**, sin injerencias:
– **Protección contra despidos**: Solo puede ser removido por causas graves no relacionadas con sus funciones (Sentencia TJUE C-534/20).
– **Evitar conflictos**: No puede ocupar puestos que impliquen decidir sobre tratamientos de datos (ej.: director de TI, RRHH).
– **Transparencia**: Debe documentar su trabajo y, si el responsable ignora sus recomendaciones, justificar por escrito los motivos (art. 28 Directrices WP243).
—
#### **4. Cambios organizativos y papel del DPD**
En casos como el analizado, donde una entidad crea un **nuevo puesto de «Responsable de Privacidad»** para separar funciones:
– El DPD **no aprueba cambios** sino que **informa y asesora**.
– Su informe **no es vinculante**: el responsable puede desestimar su criterio, pero debe documentar los motivos.
– La estructura propuesta es válida si **respeta la independencia del DPD** y evita solapamientos con decisiones sobre tratamientos.
—
#### **5. Relación con la AEPD**
– El DPD **puede solicitar asesoramiento externo** (consultores), pero su criterio no es obligatorio.
– En consultas a la AE