El DPO en empresas de suministro y tratamiento de agua supervisa el uso de datos personales y garantiza el cumplimiento normativo en un servicio esencial para millones de ciudadanos.
Códigos de conducta del Delegado de Protección de Datos
Los códigos de conducta del Delegado de Protección de Datos definen su actuación ética y legal, asegurando independencia, confidencialidad y compromiso con la privacidad.
Los códigos de conducta del Delegado de Protección de Datos recogen los principios éticos y operativos que guían su labor. Garantizan un desempeño responsable, conforme al marco legal vigente y alineado con las funciones definidas por el RGPD y la LOPDGDD.
Principales códigos de conducta del Delegado de Protección de Datos
Los códigos de conducta del DPO se basan en la independencia, confidencialidad, ausencia de conflictos de interés, formación continua, responsabilidad institucional y fomento de la cultura de privacidad, conforme al marco legal definido por el RGPD y la LOPDGDD.
| Código de conducta | Normativa que lo define | Descripción resumida |
|---|---|---|
| Independencia funcional | Artículo 38.3 del RGPD | El DPO actúa con autonomía y no puede recibir instrucciones sobre cómo desempeñar sus funciones. |
| Confidencialidad profesional | Artículo 38.5 del RGPD | Debe mantener secreto sobre toda la información a la que accede, incluso tras dejar el cargo. |
| Evitar conflictos de interés | Artículo 38.6 del RGPD | No debe tener funciones que interfieran con su rol de supervisión del cumplimiento normativo. |
| Formación continua y actualización normativa | Artículo 37.5 del RGPD | Debe mantenerse actualizado en legislación y buenas prácticas mediante formación especializada. |
| Responsabilidad y transparencia | Artículo 39.1 del RGPD | Debe documentar sus actuaciones y rendir cuentas ante la dirección y la autoridad de control. |
| Promoción de la cultura de protección de datos | Artículo 39.1.b del RGPD | Debe sensibilizar, formar y fomentar el respeto a la privacidad dentro de la organización. |
Independencia funcional
El Delegado de Protección de Datos debe actuar con plena autonomía e independencia dentro de la organización. Esto implica que no puede recibir instrucciones sobre cómo desempeñar sus funciones relacionadas con la protección de datos.
El artículo 38.3 del RGPD establece que “el responsable y el encargado del tratamiento deberán garantizar que el DPO no reciba instrucciones en lo que respecta al desempeño de dichas funciones”.
Esta independencia no significa aislamiento. El DPO debe colaborar estrechamente con los distintos departamentos, pero siempre desde una posición objetiva e imparcial.
Confidencialidad profesional
Toda la información tratada por el DPO en el ejercicio de sus funciones está sujeta a un deber estricto de confidencialidad. Este deber incluye tanto la información técnica como la organizativa o estratégica.
Según el artículo 38.5 del RGPD, el DPO está “obligado a guardar secreto o confidencialidad en lo que respecta al desempeño de sus funciones”.
Esta obligación persiste incluso cuando la persona deja de ejercer como DPD. Refuerza la confianza en la figura del DPD como garante de derechos.
Evitar conflictos de interés
El DPD no debe asumir funciones que interfieran con su responsabilidad de supervisión. En concreto, no debe participar en decisiones sobre tratamientos que él mismo deba supervisar.
El artículo 38.6 del RGPD permite que el DPO tenga otras funciones, siempre que no generen conflicto de intereses.
Por ello, debe evitarse que tenga responsabilidad directa en áreas como recursos humanos, marketing o informática si estas implican decisiones sobre datos personales.
Formación continua y actualización normativa
El DPD debe mantener conocimientos actualizados sobre legislación y buenas prácticas. La normativa evoluciona y exige un esfuerzo constante de formación.
El artículo 37.5 del RGPD exige que el DPD cuente con “conocimientos especializados del Derecho y las prácticas en materia de protección de datos”.
Acceder a fuentes jurídicas, participar en foros o redes profesionales y realizar formación especializada son claves para cumplir este principio.
Responsabilidad y transparencia ante la organización y la autoridad de control
El DPD debe documentar sus actuaciones y rendir cuentas periódicamente. Su trabajo debe quedar registrado y disponible para la alta dirección y las autoridades.
El artículo 39.1 del RGPD establece como funciones del DPD supervisar el cumplimiento del Reglamento y asesorar sobre evaluaciones de impacto.
También actúa como punto de contacto con la autoridad de control, lo que refuerza su papel de transparencia institucional.
Promoción de la cultura de protección de datos
El DPD debe impulsar una cultura organizativa basada en el respeto a la privacidad. Más allá del cumplimiento legal, su papel es pedagógico y transversal.
Debe promover la sensibilización, diseñar materiales de formación y fomentar el compromiso individual con la protección de datos.
El artículo 39.1.b del RGPD menciona que el DPO debe “concienciar y formar al personal que participa en las operaciones de tratamiento”.
Este principio consolida al DPO como un referente en ética digital dentro de la entidad.
Leyes y normativas que regulan los códigos de conducta del DPO
Los códigos de conducta del DPO se fundamentan en un conjunto de leyes, normativas y directrices tanto a nivel europeo como nacional . Estos son los principales marcos normativos que establecen sus obligaciones, funciones y principios éticos.
| Normativa | Ámbito | Contenido clave |
|---|---|---|
| Reglamento General de Protección de Datos (RGPD) Reglamento (UE) 2016/679 | Europeo | Define el rol, funciones, independencia y códigos de conducta del DPO (art. 37–41, Considerando 97). |
| Ley Orgánica 3/2018 (LOPDGDD) | Nacional (España) | Regula la figura del DPO en España: designación, inscripción y participación ante la AEPD (art. 34–37). |
| Directrices del Comité Europeo de Protección de Datos (EDPB) | Europeo | Interpretan el RGPD y orientan sobre funciones y buenas prácticas del DPO (WP243, Guidelines 07/2020). |
| Códigos de Conducta Profesionales | Voluntario / Asociativo | Buenas prácticas desarrolladas por asociaciones como APEP e ISMS Forum. |
Reglamento General de Protección de Datos (RGPD) – Reglamento (UE) 2016/679
Es la norma principal a nivel europeo. Los artículos más relevantes para el DPO son:
- Artículo 37: Designación del Delegado de Protección de Datos.
- Artículo 38: Posición del DPD dentro de la organización, independencia y medios necesarios.
- Artículo 39: Funciones del DPO, incluyendo supervisar el cumplimiento del RGPD, asesorar, actuar como punto de contacto con autoridades de control, etc.
- Artículo 40 y 41: Códigos de conducta y su supervisión, que pueden incluir aspectos específicos sobre la conducta esperada del DPD.
Además, el Considerando 97 del RGPD detalla más aspectos sobre la función del DPD.
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Es la norma española que complementa al RGPD. Destaca:
- Artículo 34 a 37: Regulan aspectos específicos del DPD en España.
- Su designación obligatoria en ciertos casos.
- Su inscripción ante la Agencia Española de Protección de Datos (AEPD).
- Su participación en procedimientos ante la AEPD.
Refuerza la importancia de la neutralidad, profesionalidad e independencia del DPD.
Directrices del Comité Europeo de Protección de Datos (EDPB)
Especialmente:
- Guidelines 07/2020 on the concepts of controller and processor in the GDPR
- Guidelines on Data Protection Officers (WP243 rev.01) – Emitidas por el antiguo Grupo de Trabajo del Artículo 29.
Estas guías interpretan el RGPD y establecen buenas prácticas, recomendaciones y directrices éticas para el comportamiento profesional del DPD.
Códigos de Conducta Profesionales
Algunas asociaciones han elaborado códigos de conducta voluntarios para DPDs, como:
- Asociación Profesional Española de Privacidad (APEP)
- ISMS Forum
- Asociaciones regionales de protección de datos
Estos códigos no son legalmente vinculantes, pero proporcionan estándares éticos, buenas prácticas y recomendaciones sobre conflictos de intereses, confidencialidad, responsabilidad, formación continua, etc.
Preguntas frecuentes
¿Cuál es la finalidad de estos códigos?
Adecuar y facilitar la aplicación del RGPD a las características de distintos sectores, demostrando el cumplimiento de las obligaciones de responsables y encargados del tratamiento.
¿Quién puede elaborar un código de conducta?
Asociaciones u otros organismos que representen categorías de responsables o encargados del tratamiento, con conocimiento experto en su sector.
¿Cómo se supervisa el cumplimiento de un código de conducta?
A través de un organismo de supervisión acreditado por la AEPD, que evalúa la idoneidad de los responsables y encargados, y tramita reclamaciones sobre infracciones del código.
¿Qué beneficios aporta la adhesión a un código de conducta?
Facilita la aplicación del RGPD, demuestra el cumplimiento de obligaciones, y puede ser considerado en la determinación de sanciones.
Artículos relacionados
Delegado de Protección de datos en centros sanitarios
El DPO en centros sanitarios protege la privacidad de los pacientes, garantiza el cumplimiento legal y asegura la gestión responsable de los datos clínicos. Una figura clave para cualquier entidad...
Delegado de Protección de Datos en empresas de distribución y comercialización de energía eléctrica y gas natural
El DPO en distribuidores y comercializadores de energía eléctrica y gas natural protege los datos de millones de usuarios, garantiza el cumplimiento normativo y aporta confianza a un sector con...