NotasProtecció de Dades

Rols de Responsabilitat en Protecció de Dades: Qui Fa Què?

Posted on by Oscar Lastera Sanchez

Imagina’t una orquestra simfònica. Cada músic té el seu instrument, la seva partitura i el seu paper específic. Si el violinista decideix tocar la trompeta o el director es posa a tocar els timbals, el resultat seria un desastre absolut. Doncs bé, amb la protecció de dades passa exactament el mateix. Cada actor té un rol definit, unes obligacions específiques i unes responsabilitats clares. I conèixer aquests rols no és només recomanable: és absolutament essencial per garantir el compliment normatiu.

T’has preguntat alguna vegada qui és realment responsable de les teves dades quan compres online, contractes un servei o simplement navegues per una web? La resposta no és tan simple com podria semblar. Hi ha tot un entramat de responsabilitats, obligacions i figures legals que treballen (o haurien de treballar) per protegir la teva informació personal.

Per Què Són Tan Importants els Rols de Responsabilitat?

Els rols de responsabilitat són fonamentals perquè clarifiquen qui és responsable de què en el maneig de la informació personal. No es tracta només de complir amb la burocràcia: es tracta de protegir drets fonamentals de les persones.

Conèixer aquests rols és essencial per:

  • Garantir el compliment normatiu: saber qui ha de fer què evita confusions i incompliments
  • Establir mesures de seguretat adequades: cada actor ha d’implementar les mesures que li corresponen
  • Definir responsabilitats clares: en cas d’incidents o incompliments, cal saber qui respon
  • Assignar tasques: distribuir el treball de manera eficient
  • Implementar polítiques efectives: tenir clars els rols permet desenvolupar polítiques realistes

El deure de protegir les dades personals en qualsevol fase del tractament recau en tota persona física o jurídica, autoritat pública, servei o organisme que, sol o conjuntament amb altres, tingui o pugui donar accés a aquest tractament.

Però atenció: no tothom té les mateixes responsabilitats. Hi ha una jerarquia, uns rols diferenciats que el RGPD i la LOPDGDD defineixen amb precisió quirúrgica.

El Responsable del Tractament: El Capità del Vaixell

Si la protecció de dades fos un vaixell, el Responsable del Tractament seria el capità. És qui determina les finalitats i els mitjans del tractament de les dades personals. És qui pren les decisions estratègiques i qui, en última instància, respon davant les autoritats i els interessats.

El Responsable del Tractament pot ser:

  • Una persona física
  • Una persona jurídica (empresa, associació…)
  • Una autoritat pública
  • Qualsevol altre organisme

Pot actuar sol o conjuntament amb altres (en aquest cas, parlem de corresponsables).

Obligacions del Responsable: Més Enllà del Paper

Les obligacions del Responsable del Tractament són extenses i no admeten improvisacions. No es tracta de signar un document i oblidar-se’n: és una responsabilitat activa i continuada.

El Deure d’Informació: Transparència Total

La primera i més important obligació és el deure d’informació. El Responsable ha d’informar sempre de:

  • La seva identitat i dades de contacte
  • El nom i dades de contacte del Delegat de Protecció de Dades (si en té)
  • Les finalitats del tractament
  • La base jurídica del tractament
  • Els drets de l’interessat
  • Les categories de destinataris a qui es comunicaran les dades
  • Les transferències internacionals de dades (si n’hi ha)
  • Els terminis de supressió de les dades
  • El dret a presentar una reclamació davant una autoritat de control
  • Les conseqüències de no facilitar les dades

Aquesta informació ha de ser fàcilment accessible i fàcil d’entendre, utilitzant un llenguatge senzill i clar. No serveixen els textos legals incomprensibles escrits en lletra minúscula.

Un exemple de clàusula informativa per a clients seria:

«Les dades facilitades seran tractades per [NOM EMPRESA], amb la finalitat de gestionar la seva sol·licitud/contractació. Les dades es conservaran durant [TERMINI]. Pot exercir els seus drets d’accés, rectificació, supressió, limitació, portabilitat i oposició dirigint-se a [ADREÇA]. Més informació a la nostra Política de Privacitat.»

El Registre d’Activitats de Tractament

El Responsable del Tractament ha de portar un registre de les activitats de tractament. Aquest registre ha de quedar per escrit i pot ser requerit per l’autoritat de control en qualsevol moment.

El registre ha d’incloure, per a cada tractament:

  • Nom del tractament (per exemple: «Gestió de clients», «Gestió de RRHH»)
  • Responsable del Tractament
  • Delegat de Protecció de Dades (si n’hi ha)
  • Categoria d’interessats (clients, treballadors, proveïdors…)
  • Tipologia de dades tractades
  • Finalitat del tractament
  • Categories de destinataris (si es cedeixen dades)
  • Transferències internacionals (si n’hi ha)
  • Mesures tècniques i organitzatives aplicades
  • Terminis de supressió

Per exemple, un tractament de «Gestió de lloguers» podria incloure:

  • Categoria d’interessats: clientela, persones arrendatàries, propietaris
  • Tipologia de dades: dades bàsiques (nom, telèfon, NIF, adreça, email, signatura, dades econòmiques)
  • Finalitat: gestió dels lloguers per a finalitats administratives
  • Destinataris: Agència tributària, bancs
  • Termini de supressió: 6 anys (Codi de Comerç)

Avaluació d’Impacte en Protecció de Dades (AIPD)

El Responsable ha d’avaluar l’adequació del nivell de seguretat a aplicar, tenint en compte els riscos que presenta el tractament.

Quan és probable que un tipus de tractament comporti un alt risc per als drets i llibertats de les persones, el Responsable ha de realitzar una Avaluació d’Impacte en Protecció de Dades (AIPD).

L’AIPD ha d’incloure, com a mínim:

  • Una descripció general de les operacions de tractament previstes
  • Una valoració del risc
  • Les mesures contemplades per fer front al risc
  • Les garanties de seguretat
  • Els mecanismes per garantir la protecció de dades

És com fer una inspecció tècnica del vehicle abans d’un viatge llarg: has d’identificar els possibles problemes abans que es converteixin en accidents.

Corresponsables del Tractament: Quan Comparteixen la Responsabilitat

Quan dos o més responsables determinen conjuntament els objectius i mitjans del tractament, són considerats Corresponsables del Tractament.

Han d’acordar de manera transparent:

  • Les seves respectives responsabilitats
  • Qui actuarà com a punt de contacte per als interessats
  • Les obligacions d’informació a els interessats
  • Com es reflecteix la relació amb els interessats

Un cas pràctic: una petita empresa de construcció que comparteix la base de dades de clientela amb un amic que té una fusteria i un conegut que és pintor. Formen un petit grup d’empreses que treballen conjuntament. Els tres serien corresponsables del tractament d’aquestes dades personals.

Un interessat pot exercir els seus drets davant qualsevol dels corresponsables, llevat que se li hagi informat específicament de quin d’ells gestiona les sol·licituds.

L’Encarregat del Tractament: El Soci de Confiança

Si el Responsable del Tractament és el capità del vaixell, l’Encarregat del Tractament seria el segon de bord: executa les ordres però no les decideix.

L’Encarregat del Tractament és qualsevol persona física o jurídica, autoritat pública, servei o organisme que tracta dades de caràcter personal per compte del Responsable.

La relació és clara: el Responsable decideix què fer i per què, i l’Encarregat fa el treball seguint les seves instruccions.

Obligacions de l’Encarregat: El Contracte és la Clau

El tractament de dades per part d’un Encarregat es regeix sempre per un contracte o acte jurídic que el vincula amb el Responsable. Aquest no és un detall menor: sense contracte, no hi ha relació legal vàlida.

Què Ha d’Incloure el Contracte?

El contracte entre Responsable i Encarregat ha d’establir que l’Encarregat:

  • Tractarà les dades seguint les instruccions del Responsable
  • Aplicarà totes les mesures tècniques i organitzatives adequades
  • Respectarà les condicions del Responsable
  • Ajudarà el Responsable a atendre les sol·licituds d’exercici de drets
  • Donarà suport per avaluar l’adequació de la seguretat
  • Retornarà o suprimirà les dades en finalitzar el tractament
  • Posarà a disposició la informació necessària per demostrar el compliment
  • No podrà recórrer a un altre encarregat sense consentiment previ per escrit

El contracte també ha de disposar:

  • L’objecte del tractament
  • La durada del tractament
  • La naturalesa i finalitat del tractament
  • El tipus de dades personals
  • Les categories d’interessats
  • Les obligacions i drets del Responsable

Personal Autoritzat: La Confidencialitat és Sagrada

Tant el Responsable com l’Encarregat han de garantir que el personal autoritzat a tractar dades personals s’ha compromès a respectar la confidencialitat.

Aquest compromís s’ha de fixar mitjançant:

  • Un acord de confidencialitat
  • Una obligació legal de confidencialitat

El personal només pot realitzar el tractament:

  • Seguint les instruccions del Responsable
  • Seguint les instruccions de l’Encarregat
  • Per una obligació legal

Exemples Pràctics d’Encarregats del Tractament

Quins encarregats pot tenir una pime?

  • Empresa consultora
  • Gestoria (que porta la comptabilitat i les nòmines)
  • Servei extern d’informàtica (manteniment de servidors i aplicacions)
  • Servei extern de destrucció de documentació
  • Servei extern de contractació de personal
  • Servei extern de neteja de les instal·lacions (si accedeixen a zones amb documentació)

Fins i tot una empresa d’informàtica que només arregla els equips és considerada Encarregat del Tractament, ja que tindrà accés als ordinadors i possiblement als servidors de l’empresa.

El Delegat de Protecció de Dades (DPD): El Guardià de la Llei

El Delegat de Protecció de Dades (DPD, o DPO per les seves sigles en anglès: Data Protection Officer) és una figura clau introduïda pel RGPD.

És l’encarregat d’assessorar sobre el compliment de la normativa en matèria de protecció de dades dins de les organitzacions. És el responsable de facilitar el compliment per part de l’empresa i actua com a intermediari entre les autoritats de supervisió, les persones interessades i l’organització que l’ha designat.

Designació: Quan És Obligatori Tenir un DPD?

El RGPD estableix l’obligació de designar un DPD quan:

  1. El tractament el porta a terme una autoritat o organisme públic (excepte tribunals en funció judicial)
  2. Les activitats principals consisteixen en operacions que requereixen una observació habitual i sistemàtica d’interessats a gran escala
  3. Les activitats principals consisteixen en el tractament a gran escala de categories especials de dades o dades relatives a condemnes i infraccions penals

Aquests criteris són una mica abstractes, però la LOPDGDD els concreta.

Sectors que Obligatòriament Necessiten un DPD

La LOPDGDD estableix un llistat concret de sectors que obligatòriament han de designar un DPD:

  • Col·legis professionals i els seus consells generals
  • Centres docents de qualsevol nivell educatiu, incloent universitats públiques i privades
  • Operadors de telecomunicacions que tractin habitualment dades a gran escala
  • Proveïdors de serveis de la societat de la informació que elaborin perfils d’usuaris a gran escala
  • Entitats de crèdit, establiments financers, asseguradores i reasseguradores
  • Empreses de serveis d’inversió
  • Empreses distribuïdores i comercialitzadores d’energia elèctrica i gas natural
  • Entitats responsables de fitxers comuns per a l’avaluació de la solvència
  • Entitats que desenvolupin activitats de publicitat i prospecció comercial quan elaborin perfils
  • Centres sanitaris obligats al manteniment de les històries clíniques
  • Entitats que emetin informes comercials que puguin referir-se a persones físiques
  • Operadors de joc online
  • Empreses de seguretat privada
  • Federacions esportives quan tractin dades de menors

Com pots veure, el llistat és extens i cobreix sectors molt diversos.

Com Inscriure un DPD?

El Responsable o Encarregat ha de:

  1. Publicar les dades de contacte del DPD (per exemple, a la seva pàgina web)
  2. Comunicar-ho a l’autoritat de control en un termini de 10 dies

L’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques mantenen una llista actualitzada de DPD accessible electrònicament.

La comunicació es fa mitjançant un formulari web que permet:

  • Altes de nous DPD
  • Modificacions de dades
  • Supressions (baixes)

Per presentar la comunicació cal:

  • Tenir un certificat electrònic o DNI electrònic
  • O accedir mitjançant les claus concertades Cl@ve
  • Tenir instal·lat el programa Autofirma

Obligacions del DPD: Informar, Supervisar i Cooperar

Les obligacions del DPD són, com a mínim:

1. Informar i assessorar

  • Informa i assessora el Responsable, l’Encarregat i els treballadors sobre les obligacions del RGPD
  • Assessora sobre l’avaluació d’impacte

2. Supervisar

  • Supervisa el compliment del RGPD
  • Supervisa les polítiques de protecció de dades
  • Supervisa l’assignació de responsabilitats
  • Supervisa la conscienciació i formació del personal
  • Supervisa les auditories

3. Cooperar

  • Coopera amb l’autoritat de control
  • Actua com a punt de contacte amb l’autoritat de control

Funcions Principals del DPD

Les funcions del DPD són molt extenses. Algunes de les principals:

  • Compliment de principis relatius al tractament
  • Identificació de les bases jurídiques dels tractaments
  • Disseny i implantació de mesures d’informació als interessats
  • Establiment de mecanismes per rebre i gestionar sol·licituds d’exercici de drets
  • Contractació d’encarregats del tractament
  • Identificació dels instruments de transferència internacional
  • Disseny i implantació de polítiques de protecció de dades
  • Auditoria de protecció de dades
  • Establiment i gestió dels registres d’activitats
  • Anàlisi de riscos
  • Implantació de mesures de protecció des del disseny i per defecte
  • Implantació de mesures de seguretat
  • Establiment de procediments de gestió de violacions de seguretat
  • Determinació de la necessitat de realitzar avaluacions d’impacte
  • Relacions amb les autoritats de supervisió
  • Implantació de programes de formació i sensibilització

És un paper molt complet que requereix coneixements jurídics, tècnics i organitzatius.

Identificació i Reporte a Direcció

El DPD pot ser:

  • Personal treballador de l’empresa (DPD intern)
  • Contractat com a servei extern (DPD extern)

Independentment del tipus de relació, ha d’estar en posició de realitzar les seves obligacions de manera independent.

Quan el DPD detecta una vulneració rellevant en matèria de protecció de dades, ho ha de comunicar immediatament als òrgans d’administració i direcció del Responsable o Encarregat, ja que són ells els responsables finals de complir amb la llei.

Procediments davant Reclamacions

Hi ha dos procediments possibles davant una reclamació:

1. Procediment intern

  • Davant el propi Responsable del Tractament
  • A través del seu DPD

2. Procediment davant l’autoritat

  • Davant l’autoritat de protecció de dades competent

L’interessat pot, amb caràcter previ a presentar una reclamació davant una autoritat de control, dirigir-se al DPD de l’entitat.

El DPD té el deure de comunicar a l’interessat la decisió adoptada en un termini màxim de dos mesos.

Si l’interessat es dirigeix directament a l’autoritat de control, aquesta li pot remetre la reclamació al DPD perquè li doni resposta, disposant d’un termini d’un mes.

Si transcorregut el termini el DPD no ha respost, l’autoritat de control continuarà el procediment.

Competència Professional: Què Necessita Saber un DPD?

El DPD ha de ser un professional que pugui acreditar:

  • Formació i coneixements en Dret
  • Experiència en protecció de dades
  • Capacitat per dur a terme les seves funcions

El nivell requerit ha de ser proporcional a:

  • La sensibilitat de les dades
  • La complexitat del tractament
  • La quantitat de dades processades

És rellevant que tingui:

  • Experiència en lleis i pràctiques europees de protecció de dades
  • Coneixement profund del RGPD
  • Si és per a una autoritat pública, coneixement de les activitats administratives i procediments

Coneixements tècnics necessaris:

  • Informàtica
  • Seguretat de la informació
  • Noves tecnologies

Habilitats personals:

  • Capacitat d’observació i atenció al detall
  • Enfocament exhaustiu i metòdic
  • Capacitat de treballar sense supervisió
  • Capacitat de registrar resultats i redactar informes
  • Coneixements informàtics
  • Capacitat de treball en equip
  • Ment inquieta amb ganes d’aprendre

Certificació: El DPD pot certificar-se oficialment segons l’Esquema AEPD-DPD, tot i que no és obligatori. Els prerequisits per acreditar-se són:

  • 5 anys d’experiència en funcions de DPD, o
  • 3 anys d’experiència + 60 hores de formació, o
  • 2 anys d’experiència + 100 hores de formació, o
  • 180 hores de formació reconeguda

El Responsable de Privacitat: La Figura Voluntària

El Responsable de Privacitat o Responsable de Seguretat és la persona de dins l’entitat que coordina tots els aspectes relacionats amb les polítiques del Responsable o Encarregat en matèria de protecció de dades personals.

Aquesta figura no està regulada en el RGPD ni en la LOPDGDD. És una figura voluntària.

Les seves funcions són:

  • Actualitzar les polítiques de protecció de dades
  • Implantar el pla de formació en protecció de dades
  • Adoptar mesures perquè el personal conegui les normes de seguretat
  • Adoptar mesures correctives després d’auditories
  • Mantenir relacions del personal autoritzat
  • Establir protocols de comunicació amb el DPD
  • Adoptar protocols per al compliment de mesures de seguretat
  • Informar de les conseqüències de l’incompliment
  • En cas de violació de seguretat, informar immediatament al DPD i al Responsable

Diferències Entre DPD i Responsable de Privacitat

Les principals diferències són:

AspecteDPDResponsable de Privacitat
ObligatorietatObligatori en determinats casosSempre voluntari
Comunicació AEPDS’ha de comunicar en 10 diesNo cal comunicar
IndependènciaTotalment independentDepèn de la Direcció
Accés a dadesLliure, sense oposició possibleSegons directrius
Conflicte d’interessosHa d’evitar-loPot tenir-ne

Com que el DPD és independent i el Responsable de Privacitat no, no és recomanable que una mateixa persona sigui alhora DPD i Responsable de Privacitat, tot i que la llei no ho prohibeix explícitament.

Cas Pràctic: Empresa Eloisa

Per entendre millor aquests rols, vegem un exemple pràctic:

L’empresa Eloisa (valenciana) es dedica a gestionar lloguers de vivendes. En el seu departament d’administració treballa Javier Fuentes. Forma part d’un grup d’empreses amb Casas de lujo (empresa basca) amb la qual comparteixen la base de dades.

Disposen d’ordinadors que guarden dades de persones arrendatàries, arrendadores, clientela potencial, personal treballador, etc.

Al seu llistat d’empreses proveïdores tenen:

  • Ordenadors eficientes: manteniment d’aplicacions informàtiques i dispositius
  • Conversia: gestió de la protecció de dades personals
  • Asesoría plus: nòmines dels treballadors

Preguntes:

  1. Qui és el Responsable del Tractament?
    • Resposta: Eloisa i Casas de lujo (són els responsables de la base de dades compartida)
  2. Qui és Encarregat del Tractament?
    • Resposta: Ordenadors eficientes (accedeixen als equips per fer manteniment)
  3. Qui més és Encarregat del Tractament?
    • Resposta: Asesoría plus (reben dades dels treballadors per emetre nòmines)
  4. Qui és el Delegat de Protecció de Dades?
    • Resposta: Conversia (assumeix les funcions de DPD)
  5. Qui pot ser Responsable de Privacitat?
    • Resposta: Javier Fuentes (és l’única persona física dins l’entitat que pot coordinar aspectes de protecció de dades)
  6. Qui són Corresponsables del Tractament?
    • Resposta: Eloisa i Casas de lujo (determinen conjuntament objectius i mitjans del tractament)

Conclusions: Cada Rol Té el Seu Paper

Hem recorregut els diferents rols de responsabilitat en protecció de dades, des del Responsable del Tractament fins al Responsable de Privacitat, passant per l’Encarregat i el Delegat de Protecció de Dades.

Cada un d’aquests actors té un paper específic, unes obligacions concretes i unes responsabilitats clares. No són intercambiables ni substituïbles: cadascú ha de fer la seva feina.

El Responsable del Tractament és qui pren les decisions estratègiques sobre el tractament. És el capità del vaixell, qui marca el rumb. Les seves obligacions són extenses: des del deure d’informació fins a l’avaluació d’impacte, passant pel registre d’activitats.

L’Encarregat del Tractament és qui executa les ordres del Responsable. Tracta dades per compte del Responsable, seguint les seves instruccions. La relació entre ambdós s’ha de formalitzar sempre mitjançant un contracte que estableixi clarament les obligacions de l’Encarregat.

El Delegat de Protecció de Dades és el guardià de la llei dins l’organització. Informa, assessora, supervisa i coopera amb les autoritats. És una figura independent que ha de tenir coneixements especialitzats en Dret, protecció de dades, informàtica i seguretat.

El Responsable de Privacitat és una figura voluntària, no regulada per la normativa, que pot coordinar els aspectes pràctics de la protecció de dades dins l’entitat, però sempre sota les directrius de la Direcció.

És fonamental entendre que aquests rols no són només formalitats burocràtiques. Són mecanismes reals de protecció dels drets fonamentals de les persones. Cada actor ha d’assumir les seves responsabilitats amb serietat i professionalitat.

Quan tots els actors coneixen el seu paper i el compleixen adequadament, el sistema funciona. Les dades estan protegides, els drets dels interessats es respecten, i l’organització compleix amb la normativa. Però quan algú no compleix amb les seves obligacions, tot el sistema s’ensorra.

La protecció de dades és com una cadena: tan forta com el seu enllaç més feble. Si el Responsable no informa adequadament, si l’Encarregat no aplica les mesures de seguretat, o si el DPD no supervisa el compliment, tota la protecció es pot desmoronar.

Per això és tan important la formació i la conscienciació. Totes les persones que treballen amb dades personals, independentment del seu rol, han de comprendre la importància del que fan i les conseqüències que pot tenir un incompliment.

Preguntes Freqüents

1. Quina és la diferència pràctica entre Responsable i Encarregat del Tractament?

La diferència fonamental és qui decideix i qui executa. El Responsable del Tractament decideix «per què» i «com» es tractaran les dades personals: determina les finalitats (per a què es necessiten les dades) i els mitjans (com es tractaran). Per exemple, una botiga online decideix recollir dades de clients per gestionar comandes. En canvi, l’Encarregat del Tractament tracta dades personals únicament per compte del Responsable, seguint les seves instruccions. Sol ser un tercer extern. Per exemple, l’empresa de missatgeria que entrega les comandes és Encarregat: només accedeix a les adreces perquè el Responsable (la botiga) li ho ha encarregat.

2. Una petita empresa està obligada a tenir un Delegat de Protecció de Dades?

L’obligació de tenir un DPD no depèn de la mida de l’empresa, sinó de la naturalesa del tractament. Els factors determinants són: si és entitat pública o privada, si tracta dades especialment protegides, i si el tractament és a gran escala. Una petita acadèmia, per exemple, està obligada a tenir DPD per ser centre docent, independentment del seu tamaño. En canvi, una gran empresa de fabricació de mobles podria no estar obligada si no tracta dades sensibles ni a gran escala. La LOPDGDD estableix un llistat de sectors obligats que hem vist en detall.

3. Què passa si una empresa de manteniment informàtic només arregla ordinadors? És Encarregat del Tractament?

Sí, sempre és Encarregat del Tractament, encara que només arregli ordinadors. La raó és que en el procés de reparació tindrà accés als equips de l’empresa i, potencialment, als servidors i dades que contenen. Encara que no «tracti» activament les dades en el sentit d’utilitzar-les, pot accedir-hi. Per això, la relació ha de formalitzar-se amb un contracte d’Encarregat que estableixi les seves obligacions de confidencialitat i seguretat. És una mesura de precaució necessària per protegir les dades.

4. Pot una mateixa persona ser Delegat de Protecció de Dades i Responsable de Privacitat alhora?

Tècnicament la llei no ho prohibeix explícitament, però no és recomanable. El motiu és el conflicte d’interessos: el DPD ha de ser totalment independent i poder prendre decisions sense ingerències de la Direcció, mentre que el Responsable de Privacitat depèn directament de la Direcció i està subjecte a les seves directrius. Si la mateixa persona ocupa ambdós càrrecs, es crea una situació contradictòria on hauria de ser independent i dependent alhora. La millor pràctica és que siguin persones diferents, o si l’entitat és petita, tenir només DPD i prescindir de la figura voluntària de Responsable de Privacitat.

5. Com s’inscriu un Delegat de Protecció de Dades i quin és el termini?

La inscripció del DPD es fa mitjançant un formulari web electrònic a la pàgina de l’Agència Espanyola de Protecció de Dades (o l’autoritat autonòmica corresponent). El termini és de 10 dies des de la designació. Cal tenir certificat digital, DNI electrònic o claus Cl@ve per accedir. El formulari permet donar d’alta nous DPD, modificar dades d’un DPD ja inscrit, o donar de baixa (suprimir) un DPD. Es poden indicar fins a 10 entitats per a les quals ha estat designat el mateix DPD. L’Agència manté una llista actualitzada i accessible de tots els DPD inscrits.