¿Qué es un Delegado de protección de datos y en qué casos debo tener uno?

El primer post del Ciclo de artículos de la cuenta atrás hacia el nuevo RGPD trata de la nueva figura que nos presenta el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la directiva 95/46/CE (en adelante, RGPD), como es el Delegado de Protección de Datos (DPD) y la obligatoriedad o no de designar uno.

>Quién es el Delegado de Protección de Datos

La nueva figura de protección de datos viene regulada en el artículo 37 del RGPD. El DPD deberá ser un profesional designado atendiendo a sus cualidades profesionales. Destacando sus conocimientos especializados del Derecho, principalmente en materia de protección de datos. Además, la figura del DPO puede llevarla a cabo cualquier Responsable o Encargado de Tratamiento y puede ser:

  • Interno: dentro de la misma organización.
  • Externos: ajeno a la organización siempre que mantenga una relación contractual de servicios con la organización. Además, está permitido que pueda ser nombrado un solo DPO para un mismo grupo empresarial o para diferentes empresas. Siempre que exista una buena accesibilidad del DPO para el personal del grupo y al revés.

>Quién está obligado a adoptar esta nueva figura

La obligación de tener un Delegado de Protección de Datos es tanto del Responsable del Tratamiento como del Encargado del Tratamiento. Sin embargo, no se deberá cumplir con esta obligación en cualquier circunstancia. Estos son los casos en los que sí será necesario disponer de esta figura en la empresa o entidad:

  • Cuando la actividad la lleve a cabo una autoridad u organismo público (Administraciones y entes del sector público con independencia de los datos que procesen).
  • Mientras las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamientos que requieran un seguimiento regular y sistemático de los interesados a gran escala.
  • Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales relacionados con condenas y delitos.

De acuerdo con el RGPD, actividades principales se entienden aquellas operaciones imprescindibles, necesarias para lograr los objetivos que la entidad persigue. Y para determinar el concepto de gran escala se deberán considerar varios factores:

  • El número de personas afectadas por el tratamiento.
  • El volumen de datos o el abanico de diferentes conceptos de datos que se procesan.
  • La duración o permanencia de la actividad de tratamiento de datos.
  • El alcance geográfico de la actividad de tratamiento.

>Funciones

La función principal del nuevo Delegado de Protección de Datos es sin duda garantizar que la empresa cumpla con la normativa de protección de datos. Sin embargo, podemos destacar otras funciones de control:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento. Y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros. Además, de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
  • Vigilar la asignación de responsabilidades.
  • Controlar la concienciación y formación del personal que participa en las operaciones de tratamiento.
  • Supervisar las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
  • Supervisar su aplicación de conformidad con el artículo 35 del Reglamento.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36.
  • Realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto
¿Qué es un Delegado de protección de datos y en qué casos debo tener uno?