Como de todos es sabido las autoridades u organismos públicos tienen obligación legal de disponer de esta figura en su organización conforme al art 37 a) del RGPD, con la excepción de los tribunales que actúen en ejercicio de su función judicial
La designación del profesional debe hacerse con arreglo a los criterios que el propio RGPD recoge en su art. 37.5 y considerando 97 y que son claramente cualificaciones profesionales que se resume en 3 puntos esenciales:
1. El conocimiento del derecho a la protección de datos, que debe estar acreditado, aunque no necesariamente certificado.
2. La experiencia y la práctica demostrable en las tareas o funciones determinadas en el artículo 39 del propio reglamento, como son el asesoramiento al responsable respecto de sus obligaciones, la supervisión del cumplimiento, concienciación, formación, asignación de responsabilidades, su participación en las EIPD y en las Auditoría, la cooperación y punto de contacto con la autoridad de control y atención especial a los riesgos asociados a las operaciones de tratamiento, etc.….
3. La capacidad para desarrollar las tareas de manera independiente y autónoma, rindiendo cuentas al máximo nivel jerárquico, con recursos suficientes y alejado de cualquier otra función que suponga o implique conflicto de intereses
De manera adicional y/o complementaria el Grupo de Trabajo del art. 29 actualmente Comité Europeo de Protección de Datos ha mejorado alguno de estos puntos en su documento Directrices sobre los delegados de la protección de datos, adoptado el 13 de diciembre de 2016 que indica:
El nivel de conocimiento debe ser el adecuado a las operaciones de tratamiento que realiza cada responsable, así establece como recomendable un conocimiento de las leyes y prácticas de protección de datos tanto nacionales como europeas y una comprensión profunda del RGPD, más el conocimiento que el responsable del tratamiento tenga del sector empresarial y la organización, más en el caso de una autoridad u organismo públicos, el DPO debe tener también un conocimiento sólido de las normas y procedimientos administrativos de la organización.
Y en cuanto a la capacidad para el desempeño de sus funciones se fijan como necesarias las cualidades personales deben incluir, por ejemplo, la integridad y un nivel elevado de ética profesional.
También determinan esencial una dedicación ajustada al volumen de tratamientos, una participación activa cuando se tomen decisiones que impliquen tratamientos de datos personales y que su opinión sea tenida en cuenta con la debida consideración y recomienda como buena práctica documentar las razones de no seguir el consejo del DPO.
Por su parte la LOPD 3/2018 de protección de datos y derechos digitales establece sobre la cualificación del delegado en su art. 35 que El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
Nuestra recomendación es seguir estas indicaciones a la hora de elegir y designar un delegado interno y en caso de que sea posible lo más recomendable será elegir y designar u delegado externo a la debidamente formado, con experiencia, capacidad e independencia absoluta.