El Parlamento Europeo, en su sesión plenaria de 14 de abril de 2016, aprobó el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD). El objetivo del nuevo Reglamento que entro en vigor el 25 de mayo del 2018 consiste en dar mayor control a las personas físicas sobre sus datos personales en un entorno de comunicaciones avanzadas tecnológicamente. Una de las principales novedades que nos trae este nuevo reglamento es el nombramiento o la designación del delegado de protección de datos. (también llamado DPO o DPD). Pero no todas las entidades están obligadas a nombrar un delegado de protección de datos.
Esta figura es un garante del cumplimiento normativo de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento incurre en el responsable o encargado. Dicha figura debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado. Actúa de forma independiente y se le atribuyen las funciones de informar y asesorar al responsable o encargado del tratamiento además de observar que cumplen con el RGPD. El delegado de protección de datos puede ser personal interno o externo, persona física o persona jurídica.
El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:
-El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
-Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
-Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del RGPD y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.
No obstante, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señala, en su artículo 34, que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en algunos casos. En este enlace podrás ampliar más información de quien debe designar un delegado de protección de datos.
Cuando no sea obligatorio el nombramiento de un delegado de protección de datos, los responsables y encargados de tratamiento, si lo consideran, pueden nombrar un DPO o DPD. Si se nombra de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del reglamento europeo de protección de datos como si el nombramiento hubiera sido obligatorio.
Las funciones del Delegado de Protección de Datos se encuentran desarrolladas en el artículo 39 del RGPD, siendo las siguientes:
-Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
-Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
-Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
-Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
La propia organización es la que nombra o designa la figura del delegado de protección de datos (DPO o DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un delegado, y en otros casos tanto el responsable como su encargado deben designar respectivos delegados (que deberán cooperar entre sí).
Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
Los delegados de protección de datos no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normativas de protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello, cuando el delegado de protección de datos estime la existencia de una vulneración en materia de protección de datos lo documentará y comunicará a los órganos de administración y dirección del responsable o el encargado del tratamiento.
Los medios han de ser suficientes para desarrollar su labor de forma efectiva y eficaz. Es obligatorio que el responsable del tratamiento facilite al delegado de protección de datos de todos los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento.
Deben tenerse en cuenta, en especial, los siguientes aspectos:
- Apoyo activo a la labor del delegado de protección de datos por parte de la alta dirección (al nivel del consejo de administración).
- Tiempo suficiente para que el delegado de protección de datos cumpla con sus funciones
- Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.
- Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
- Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
- Formación continua.
- En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros.
El RGPD establece claramente que es el responsable y no el delegado de protección de datos quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al reglamento.