La Ley Orgánica de Protección de Datos Personales (LOPDP) describe al delegado de protección de datos ( DPD) como la “[p]ersona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos”[1].

A partir de la definición expuesta líneas arriba es sencillo evidenciar que el rol de esta persona es sumamente importante, pues de su asesoría y gestión depende que la persona natural o jurídica, pública o privada, responsable o encargada del tratamiento de datos personales actúe de conformidad a la normativa de la materia. En esa misma línea, la LOPDP ha establecido que es obligación de los responsables y encargados del tratamiento de datos personales designar a la persona que ocupará este cargo[2], dejando a su libre albedrío dicha decisión.

De acuerdo con la LOPDP, estos son los casos en los que obligatoriamente se deberá designar un DPD[3]:

• Cuando el tratamiento de datos personales se realice por instituciones que conforman el sector público.
• Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades.
• Cuando se traten categorías especiales de datos a gran escala (ej. información de menores de edad, información de salud, etc.).
• Cuando se traten datos relacionados con la seguridad nacional y defensa del Estado que no adolezcan de reserva ni fuesen secretos.

Las entidades que no estén expresamente obligadas por ley a designar un DPD, deberán tomar todas las medidas necesarias para garantizar el cumplimiento de toda la normativa sobre la materia. La ausencia de la figura del DPD no les exime de responsabilidad.

Para designar al DPD, los responsables y encargados del tratamiento de datos personales deberán observar las siguientes consideraciones especiales[4]:

• Que el DPD pueda participar en todas las cuestiones relativas a la protección de datos personales de manera apropiada y oportuna.
• Que el DPD pueda desempeñar sus funciones de manera correcta, otorgándole las facilidades necesarias para acceder a los datos personales, recursos y elementos que se manejen de manera interna.
• Capacitar y actualizar al DPD en asuntos de la materia de manera constante.
• No podrá ser destituido ni sancionado el DPD que en el ejercicio de sus funciones actúe de manera correcta, de conformidad con la ley.
• El DPD deberá mantener relación directa con el más alto nivel ejecutivo y de decisión del responsable, y con el encargado del tratamiento de datos personales.
• Los titulares de los datos personales podrán contactar al DPD.
• El DPD deberá mantener confidencialidad absoluta en el ejercicio de sus funciones.

Con base en lo expuesto, los responsables y encargados del tratamiento de datos personales no podrán tomar a la ligera el proceso de selección del DPD, pues deberán designar una persona idónea para el cargo, y que, además, sea de su confianza, ya que, obligatoriamente tendrá acceso a información sensible y deberá ejercer como punto de contacto entre varios sujetos cuyos intereses respecto del tratamiento de los datos personales son altos.

En Ecuador no se ha expedido el reglamento a la LOPDP hasta la presente fecha, por lo que todavía no ha sido posible definir algunos detalles respecto de las personas que podrán ejercer el cargo de DPD. Sin embargo, es posible remitirnos a la normativa internacional sobre la que el legislador ecuatoriano se ha inspirado para elaborar la normativa interna.

En ese sentido, el artículo 37 del Reglamento General de Protección de Datos de la Unión Europea expresamente dispone que: “[e]l delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. A partir de este artículo es posible prever que los responsables y encargados del tratamiento de datos personales obligados a designar un DPD deberán acudir a un profesional que cuente con características específicas para el correcto desempeño del cargo.

Por otro lado, la Ley Orgánica de Protección de Datos y Garantías Digitales, normativa española de protección de datos, aterriza más la idea del perfil que debe tener el DPD. El artículo 35 de esta norma establece que “[e]l cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Antes de que la LOPDP empiece a regir plenamente en el año 2023 es importante que los responsables y encargados del tratamiento de datos personales empiecen a analizar a los posibles candidatos para ejercer este cargo, ya que tal como se mencionó previamente, el DPD no solamente deberá cumplir con un perfil profesional específico, si no que, además, deberá ser una persona en la que se confíe por su capacidad y nivel de responsabilidad para manejar una gran cantidad de información, y que sea capaz de tratar con todas aquellas personas que intervienen en el tratamiento de datos personales para garantizar el correcto cumplimiento de la LOPDP.

Belén Viteri

[1] Art. 4, LOPDP.

[2] Art. 47, numeral 13, LOPDP.

[3] Art. 48, LOPDP.

[4] Art. 50, LOPDP.