El Delegado de Protección de Datos

Viene regulado en los artículos 35 y 37 del RGPD, y, aunque no es una figura obligatoria en todos los casos, existen algunas situaciones en las que necesariamente se debe designar un DPD, las cuales son:

A) Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

B) Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

C) Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

¿Quién puede ser DPD?

El artículo 37.5 expone que el Delegado de Protección de Datos deberá ser designado atendiendo a una serie de criterios relacionados con sus conocimientos jurídicos, así como con su práctica y experiencia en Protección de Datos. Específicamente debe tener las siguientes aptitudes:

• Cualidades profesionales

Relativas al conocimiento del sector empresarial en su conjunto, así como de la organización y operaciones de tratamiento que se llevan a cabo, de los sistemas de seguridad y protección de datos del responsable.

En caso de ser DPD de una administración pública, es recomendable tener un conocimiento de las normas y procedimientos administrativos.

• Conocimientos especializados en Derecho

Que tenga titulación de Derecho, así como conocimientos en la materia de Protección de Datos. Se puede obtener una certificación a través de varias agencias certificadoras, si bine no es un requisito indispensable, pues se puede ser DPD sin certificación.

• Práctica en materia de protección de datos

Es decir, experiencia demostrable en la protección de datos, máxime si se llevan tratamiento de datos a gran escala y datos sensibles.

• Capacidad para desempeñar las funciones del artículo 39

Dichas funciones vienen detallas en el citado artículo, las cuales como mínimo son:

a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

b) Supervisar el cumplimiento de lo dispuesto en la normativa, como es el Reglamento, así como de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

d) Cooperar con la autoridad de control.

e) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Todas estas funciones las desempeñará prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Por último, el artículo 34.3 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales establece que una vez que se ha designado al Delegado de Protección de Datos, los responsables y encargados del tratamiento deberán comunicar en el plazo de diez días su designación a la Agencia de Protección de Datos.