El Reglamento General de Protección de datos recoge la figura del delegado de protección de datos y los casos en que resulta obligatoria su designación.
Vector de Fondo creado por freepik
¿Qué es un delegado de protección de datos?
El delegado de protección de datos (DPO) es un profesional con conocimientos especializados del Derecho y la práctica en materia de protección de datos, al cual el Reglamento Europeo le otorga una serie de funciones, básicamente de asesoramiento y supervisión.
Como señala la Agencia Española de Protección de Datos (AEPD) en su «Guía del Reglamento General de Protección de Datos para responsables de tratamiento«; aunque no se le exija una titulación específica, entre sus funciones está el asesoramiento sobre la normativa, por lo que debería tener conocimientos jurídicos, pero también otros ajenos, como por ejemplo, sobre tecnología aplicada al tratamiento de datos o sobre el ámbito de actividad de la organización en la que desempeña sus tares.
¿Cuándo se tiene que designar un delegado de protección de datos?
No siempre es obligatorio.
El Reglamento establece que los «responsables de tratamiento» (estos es, quienes traten datos personales) y los «encargados de tratamiento» (quienes los traten por cuenta de un responsable), deberán designar obligatoriamente un DPO en los siguientes casos:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
¿Cuáles son las funciones de un delegado de protección de datos?
La figura del delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer asesoramiento acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.
¿Cómo se encuadra el delegado de protección de datos en una organización?
El Reglamento permite que el delegado de protección de datos pueda ser; (1) un empleado del responsable o del encargado de tratamiento o, (2) una persona externa a la organización, que desempeñe sus funciones en el marco de un contrato de prestación de servicios.
Además, el Reglamento prevé que el DPO pueda desempeñar otras funciones y cometidos en la organización, siempre y cuando no den lugar a conflictos de intereses.
Cuando el delegado desempeñe sus funciones tiene que garantizarse que éste actúe de forma independiente, sin que pueda recibir instrucciones, o ser sancionado por desempeñar sus funciones, debiendo rendir cuentas únicamente al más alto nivel jerárquico de la organización.