Los delegados de protección de datos (DPD) son una figura fundamental en el cumplimiento del Reglamento General del Protección de Datos (RGPD), con todas las implicaciones legales que ello supone para las organizaciones. Tanto en sus artículos como en el contenido de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) (LA LEY 19303/2018) se detalla todo lo que conlleva su trabajo, desde las funciones que debe desempeñar, su posición y las características de este rol, una pieza clave en el asesoramiento con el que debe contar el responsable del tratamiento. Sin embargo, de acuerdo con la Memoria de actuación en 2024 de la Agencia Española de Protección de Datos (AEPD) se indica que los delegados que están certificados no sobrepasan el 12% del total.
Tal como detalla este documento, que cada ejercicio da cuenta de las acciones de concienciación, colaboración e inspección que pone en marcha la agencia, así como los informes y procedimientos más destacados, el número total de delegados de protección de datos que se comunicaron a la AEPD en 2024 ascendió a 11.227. Todos ellos prestan servicio a 119.803 responsables del tratamiento. Sin embargo, aunque el porcentaje de DPD certificados mejora respecto del dato de 2023, cuando fue del 10,52%, el año pasado llegó al 11,63%. Pese a ello, fue el ejercicio en que más delegados de protección de datos se certificaron de los últimos cinco años.
Para el correcto desempeño de sus funciones y para que cuenten con mayores garantías de independencia y de solvencia, los delegados de protección de datos pueden acceder a una serie de herramientas, recursos y canales de comunicación que la agencia pone a su disposición. Por otra parte, la AEPD continuó en 2024 con el desarrollo de iniciativas de concienciación enfocadas tanto en los responsables que están obligados a designar un DPD como en aquellos que optan por dar este paso de forma voluntaria, a fin de dotar a esta figura de los recursos suficientes para el desarrollo de las tareas que les atribuye el RGPD.
¿Cómo designar a un delegado de protección de datos?
En aplicación del artículo 39 del RGPD (LA LEY 6637/2016), es necesario que la designación de los delegados de protección de datos se realice teniendo como principales referencias sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos.
A ello se suma lo que indica la LOPDGDD en su artículo 35 (LA LEY 19303/2018). Allí destaca que la cualificación profesional que se exige a esta figura fundamental para el cumplimiento de la normativa de privacidad se debe demostrar a través de varios medios, como por ejemplo los mecanismos voluntarios de certificación.
Precisamente para cumplir con esta exigencia, la AEPD elaboró en julio de 2017 un esquema de certificación. En 2024 las principales magnitudes de dicho esquema tienen que ver con el número de DPD certificados, que han sido 206, el 53,8% de los 83 candidatos a obtener la certificación en 72 convocatorias. En total, aquellos que obtuvieron la certificación con arreglo al esquema de la propia agencia ascendieron a 1.306 DPD.
En este sentido, dos universidades expresaron el pasado año su interés de que sus planes de formación específica obtuvieran el reconocimiento de la AEPD, por lo que se les facilitó información del procedimiento sin que de momento hayan presentado el formulario específico cumplimentado.
Otras acciones relacionadas con el DPD
Por otra parte, la agencia ha impulsado una serie de actividades vinculadas a DPD. Una de ellas tiene su origen en 2023, concretamente en la acción europea coordinada para analizar la designación y situación de los delegados de protección de datos en entidades públicas y privadas, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (CEPD). A partir de esta iniciativa, se elaboró un informe que ofrece una visión tanto del sector público como privado con el fin de contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos en el conjunto de la Unión Europea.
Además, durante 2024 la agencia también participó en la acción coordinada para analizar la práctica de la atención del ejercicio del derecho de acceso en la que las personas que desempeñan la función de delegado de protección de datos cumplen también con un papel destacado, ya sea en el asesoramiento a los responsables, como en el diseño, puesta en práctica y revisión de los procedimientos que las organizaciones utilizan para la atención efectiva de estas solicitudes.
Con este fin, la AEPD contó con la colaboración de los DPD de organismos del sector público y con los que desempeñan esta función en entidades del sector privado, más concretamente en los sectores del transporte aéreo de viajeros, comercio, industria aseguradora, sector financiero, seguridad privada, sector energético, turismo y hostelería, comunicaciones, farmacéutico y de ensayos clínicos.
El informe final recoge recomendaciones y puntos de atención dirigidas a los responsables y a las autoridades de control relativas a la identificación de retos y puntos de mejora; identificación de buenas prácticas, que hemos recogido en diariolaley; necesidad de definir procedimientos internos así como uso de plataformas para la gestión de la privacidad; utilización de los canales adecuados para la presentación de solicitudes; medidas de protección e identificación de los interesados; así como la necesidad de incrementar el nivel de concienciación dentro de las organizaciones en relación con el ejercicio de los derechos de las personas interesadas.