El Delegado de Protección de Datos
En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se incluye la figura del Delegado de Protección de datos o, en inglés, DPO. Este reglamento entró en vigor el pasado 25 de mayo de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018.
El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva figura, especialista en la legislación en protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.
La AEPD, ha publicado un aguía en la cual se analiza las funciones del Delegaod de Protección de datos.
Funciones del Delegado de Protección de Datos:
Entre las tareas que se atribuyen al Delegado de Protección de Datos están:
- Informar, asesorar y supervisar al responsable del tratamiento de datos de las obligaciones y normas que debe efectuar para cumplir con el Reglamento General de Protección de Datos. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control (Agencia de Protección de Datos) y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
La existencia de un Delegado de Protección de Datos será obligatoria en los siguientes casos:
- Autoridades públicas, a excepción de los jueces y tribunales. Quedaría incluida en este grupo cualquier entidad, autoridad o funcionario que desempeñe funciones públicas. Entre otros, las administraciones públicas territoriales e institucionales, las entidades de derecho público como los Colegios Profesionales y los funcionarios públicos pertenecientes a Cuerpos como el de Notarios o Registradores.
- Empresas privadas cuyas actividades principales consistan en operaciones de tratamiento a gran escala que requieran un seguimiento habitual y sistemático de los interesados. Aunque esta definición es bastante imprecisa y habrá de irse concretando con el tiempo, parece claro que habrán de incluirse en esta categoría, al menos, todas aquellas empresas cuyo negocio se desarrolle en torno al tratamiento de datos personales.
- Entidades cuyas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En esta categoría se incluirían profesionales y entidades que, por su actividad, necesitan tratar datos sensibles, como las pertenecientes al sector sanitario, y aquellas empresas o profesionales que traten datos de condenas penales, como, por ejemplo, los abogados o procuradores que trabajen en este ámbito.
En el resto de empresas, la figura del DPO no es obligatoria legalmente, pero es muy recomendable, en cualquier caso, con el fin de asegurarse un debido cumplimiento normativo y evitar así reclamaciones o sanciones.