Wiki

DPO — Delegado de Protección de Datos en Sanidad

Se lee en 2 min

DPO — Data Protection Officer

¿Qué es?

El Delegado de Protección de Datos (DPO) es la figura clave de accountability en las organizaciones que tratan datos personales a gran escala o categorías especiales.

Obligatoriedad en el sector salud (Art. 37 GDPR + Art. 34 LOPDGDD)

Es OBLIGATORIO designar un DPO en:

  • Hospitales, clínicas y centros sanitarios
  • ✅ Entidades aseguradoras de salud
  • ✅ Centros de investigación biomédica
  • ✅ Laboratorios que traten datos de salud
  • ✅ Empresas farmacéuticas (ensayos clínicos)
  • ✅ Cualquier entidad que trate datos de salud a gran escala

Funciones (Art. 39)

  1. Informar y asesorar al responsable/encargado y empleados
  2. Supervisar el cumplimiento del GDPR y normativa sectorial
  3. Punto de contacto con la AEPD y con los interesados
  4. Evaluar el impacto de nuevos tratamientos (eipd)
  5. Formar al personal en protección de datos

Posición (Art. 38)

  • Independiente: no recibe instrucciones sobre cómo ejercer sus funciones
  • Protegido: no puede ser sancionado por ejercer sus funciones
  • Confidencialidad: sujeto a secreto profesional
  • Recursos: debe tener acceso a la alta dirección y recursos suficientes
  • Reporta: directamente al más alto nivel directivo

DPO interno vs externo

AspectoDPO internoDPO externo
VentajaConoce la organizaciónIndependencia total
DesventajaPuede tener conflicto de interesesNo conoce procesos internos
PosibleSí (con contrato de servicios)

Conflicto de intereses (Art. 38.6)

El DPO NO puede desempeñar funciones que generen conflicto:

  • ❌ Director de IT (decide cómo tratar datos y supervisa)
  • ❌ Responsable de RRHH
  • ❌ CEO / Director general
  • ✅ Puede ser adjunto a calidad, compliance, asesoría jurídica

Registro del DPO

  • Debe notificarse a la AEPD (nombre y datos de contacto)
  • La AEPD mantiene un registro público de DPOs
  • El DPO debe estar accesible a los interesados (publicar contacto)

Referencias

  • ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 37-39
  • ^[raw/papers/lopdgdd-ley-organica-3-2018-es.pdf] Art. 34
  • lopdgdd
  • eipd
  • gdpr-vision-general

Vista Gráfica

Retroenlaces