El Delegado de Protección de Datos
En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se incluye la figura del Delegado de Protección de datos o, en inglés, DPO. Este reglamento entró en vigor el pasado 25 de mayo de 2018. Y que se contempla en la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una figura que se incluye en la Directiva 95/46, especialista en la legislación en protección de datos, que se una al lado de las figuras del responsable y del encargado del tratamiento de los datos.
Funciones del Delegado de Protección de Datos:
Entre las tareas que se atribuyen al Delegado de Protección de Datos están:
- Informar, asesorar y supervisar al responsable del tratamiento de datos de las obligaciones y normas que debe efectuar para cumplir con el Reglamento General de Protección de Datos. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control (Agencia de Protección de Datos) y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
El DPD no es personalmente responsable por el incumplimiento del RGPD. El RGPD deja claro que es el responsable del tratamiento o del encargado quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. El cumplimiento de la protección de datos es responsabilidad del responsable o del encargado.
La existencia de un Delegado de Protección de Datos será obligatoria en los siguientes casos:
El RGPD requiere la designación de un DPD en tres supuestos específicos:
- Cuando el tratamiento se realice por una autoridad u organismo público (independientemente de los datos que se estén procesando)
- Cuando las actividades principales del responsable del tratamiento o del procesador consisten en operaciones de tratamiento que exigen un control periódico y sistemático de los datos a gran escala
- Cuando las actividades principales del responsable del tratamiento o del procesador consisten en procesar a gran escala categorías especiales de datos o datos personales relativos a condenas y delitos penales.
Para el resto de empresas la figura del DPO no es obligatoria, pero es muy recomendable, en cualquier caso, con el fin de asegurarse un debido cumplimiento normativo y evitar así reclamaciones o sanciones.