A muchas organizaciones se les pedirá que nombren un delegado de protección de datos (DPD, o DPO por sus siglas en inglés) para que sea responsable de supervisar el cumplimiento del Reglamento, proporcionar información y asesoramiento y trabajar en colaboración con la autoridad de control.
Son una característica existente de algunas leyes de protección de datos de los estados miembros, como Alemania.
En la mayoría de las organizaciones, será buena práctica nombrar un delegado de la protección de datos de todas maneras. Las obligaciones del RGPD son tales que tener orientación y apoyo ya disponibles de un especialista en protección de datos será una medida esencial en la gestión del riesgo, de la misma manera que las organizaciones ahora nombran un gerentes de RR. PP. o salud y seguridad.
El delegado de la protección de datos, cuando sea nombrado, debe ser independiente. Esto no significa que tiene que nombrar una persona externa; la función del delegado de la protección de datos puede ser desempeñada por un empleado.
Obligaciones.
- El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
- El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.
Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.
- La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
- La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos, entre los que se encuentran:
- total autonomía en el ejercicio de sus funciones,
- necesidad de que se relacione con el nivel superior de la dirección,
- obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
A tener en cuenta.
- Se permite nombrar un solo DPD para un grupo empresarial siempre que sea accesible desde cada establecimiento del grupo.
- El puesto puede ser una función a tiempo parcial o combinada con otros deberes, pero, al desempeñar la función, el delegado de la protección de datos debe tener una vía jerárquica independiente y debe estar facultado para informar directamente al consejo sin interferencias. Lo que es importante es que la persona nombrada debe ser un profesional en protección de datos con “conocimiento especializado de la ley y prácticas de protección de datos” para desempeñar sus funciones.
- La accesibilidad debe entenderse en un sentido amplio. Incluye la accesibilidad física para el propio personal del grupo y también la posibilidad de que los interesados contacten con el DPD en su lengua, aun cuando el DPD esté adscrito a un establecimiento en otro Estado Miembro.
- El delegado de la protección de datos debe tener las cualidades profesionales adecuadas y conocimiento de la ley de protección de datos. En la actualidad no hay un requisito expreso de tener ninguna cualificación o certificado en concreto.
La certificación no será un requisito indispensable para el acceso a la profesión, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD. Pero responsables y encargados pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPD.
- Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios. Es decir, permite que pueda contratarse el servicio de DPD con personas físicas o jurídicas ajenas a la organización.
- Está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial. En este último caso, es preciso evitar que existan conflictos de intereses.
Estos conflictos pueden surgir cuando el DPD, en su tarea de supervisión de las actividades de tratamiento de datos llevadas a cabo por la organización, debe valorar su propio trabajo dentro de ella, como sucede si se designa DPD al responsable de tecnologías de la información (cuando estas tecnologías se emplean para el tratamiento de datos) o al responsable de un área de negocio que decide sobre determinados tratamientos.
- El RGPD prevé también el catálogo de funciones del DPD, entre las que se incluyen las relativas a actuar como punto de contacto para los interesados en todo lo que tenga relación con el tratamiento de sus datos personales.