La figura del Delegado de Protección de Datos, también conocido como DPD por sus siglas o como DPO (Data Protection Officer), ha supuesto una importante novedad no sólo en materia de protección de datos, también en la vida de una entidad, ya que en muchos casos es obligatorio su nombramiento. Esta figura aparece regulada en los arts. 37 a 40 del Reglamento General de Protección de Datos (RGPD) y en los arts. 34 a 37 de la nueva Ley Orgánica de Protección de Datos de carácter personal y garantía de los derechos digitales (LOPD-GDD).
En los artículos antes mencionados se establece cuándo es obligatorio el uso de esta figura, añadiendo que aunque no sea obligatorio, cualquier entidad puede nombrar uno de forma voluntaria, lo que va en sintonía con el principio de proactividad (otra novedad del RGPD).
Ahora bien, la Agencia Española de Protección de Datos (AEPD) se ha manifestado ampliando o clarificando el uso de esta figura en los centros docentes. Así, aparte de lo contenido en el art. 37 RGPD, ha explicado el supuesto contenido en el art. 34 de la LOPD-GDD.
En concreto, el art. 34.1. b) LOPD GDD establece que deberán designar esta figura “los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas”.
A la vista de lo expuesto, ¿cuándo se considera centro docente? ¿todos los centros donde se imparta la educación deben nombrar un DPO? ¿también las guarderías?
Para poder dar respuesta y entender lo que engloba este supuesto, habrá que acudir a la Ley Orgánica 2/2006, de 3 de mayo, de Educación. Concretamente, la disposición adicional decimosexta nos dice que “las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”.
De acuerdo con lo anterior, hay que acudir al artículo 3 de la Ley Orgánica de 2006 que se ha mencionado antes, para entender cuáles son las enseñanzas que ofrece el sistema educativo y, por lo tanto, necesitan nombrar esta figura. Las mismas son:
a) Educación infantil.
b) Educación primaria.
c) Educación secundaria obligatoria.
d) Bachillerato.
e) Formación profesional.
f) Enseñanzas de idiomas.
g) Enseñanzas artísticas.
h) Enseñanzas deportivas.
i) Educación de personas adultas.
j) Enseñanza universitaria”
De lo anterior se extrae que los centros de educación infantil sí necesitan obligatoriamente un DPO, pero las guarderías no, pudiendo ser nombrado, como se decía al principio, de manera potestativa, al no ser considerado una enseñanza reglada y, por tanto, no encontrarse sujeta dentro de los supuestos recién mencionados.
Es importante esta diferenciación ya que, mientras los centros de educación infantil son aquellas entidades que tienen un proyecto educativo por el que se busca conseguir una serie de objetivos para que los niños alcance un correcto desarrollo y los trabajadores tienen que tener una formación específica, las guarderías, tal y como su nombre indica, es el lugar donde se “guardan niños”, es decir, donde se cubren sus necesidades básicas. En este caso, los cuidadores no requieren de la misma titulación que la que se exige a los trabajadores de centros de educación infantil.
También se puede extraer que se necesita esta figura no sólo cuando los datos de carácter personal provengan de una persona que sea menor de edad como se podría pensar en un principio, ya que la normativa los considera más vulnerables y necesitan una protección mayor que las personas adultas, pues, por ejemplo, el tratamiento de datos personales de un menor de edad sin recabar su consentimiento se considera una infracción tipificada como grave en el art. 73 de la LOPD-GDD, ya que los centros docentes que manejen datos de personas mayores de edad (como Universidades o centros de educación de personas adultas) también necesitarán nombrar esta figura de acuerdo con este artículo y con el 34 de la Ley Orgánica de Protección de Datos.