Delegado de Protección de Datos: Características, obligaciones y funciones

El  Reglamento General de Protección de Datos (RGPD) ha creado la figura del Delegado de Protección de datos, constituye un garante del cumplimiento de la normativa de protección de datos en las organizaciones. Puede ser una persona física o jurídica.

El delegado de protección de datos debe nombrarse atendiendo a sus cualidades profesionales. Debe contar con conocimientos del derecho especializados y práctica en protección de datos, sin embargo, no se les exige ningún tipo de titulación y no tienen que estar certificados.

¿Es obligatorio designar Delegado de Protección de Datos?

El RGPD regula los supuestos en los que responsables y encargados del tratamiento están obligados a designar un delegado de protección de datos. Estos supuestos son:

1. Autoridades y organismos públicos.
2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

En los supuestos en los que no sea obligatorio nombrar un DPD los responsables y encargados del tratamiento pueden nombrarlo si así lo desean. Si se nombra un DPD de forma voluntaria, se aplicarán los mismos requisitos que si el nombramiento de éste hubiera sido obligatorio.

¿Quién nombra al Delegado de Protección de Datos?

La propia organización nombrará al delegado de protección de datos. La designación del DPD podrá ser encargada tanto a responsables como a encargados del tratamiento. En algunos casos solo el responsable o solo en encargado deben designar un DPD, en otros casos tanto el responsable como el encargado deben designar un DPD (que deberán cooperar entre sí), en función de quién cumpla los criterios de designación obligatoria.

Puede ser una práctica recomendable que el encargado de tratamiento nombre un delegado de protección de datos aunque no esté obligado a ello.

¿Debe comunicarse el nombramiento del Delegado de Protección de Datos?

De conformidad con el RGDP el nombramiento del delegado de protección de datos debe comunicarse a la agencia española de protección de datos o Autoridad de Protección de Datos autonómica. Esta comunicación se puede hacer telemáticamente a través de la sede electrónica de la AEPD.

Funciones del Delegado de Protección de Datos

El delegado de protección de datos es un profesional que se ocupa de la aplicación de la legislación sobre privacidad y protección de datos. El DPD tendrá como mínimo las funciones detalladas en el artículo 39 del RGPD:

1. Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumbe en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
2. Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsables, la concienciación y formación del personal que participa en las operaciones de tratamiento y las correspondientes auditorías.
3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa.

El RGPD requiere que el DPD desempeñe sus funciones “prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

El RGPD establece algunas garantías básicas para asegurar que los DPD puedan realizar sus tareas con el suficiente grado de autonomía dentro de la organización. En concreto, los responsables y encargados del tratamiento están obligados a garantizar que el DPD “no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”.

La autonomía del DPD no significa que tengan poder para adoptar decisiones más allá de las funciones definidas en el art. 39.

¿Puede ser el Delegado de Protección de Datos  externo a la organización?

La función de DPD puede ejercerse en el marco de un contrato de servicios suscrito  con una persona física o entidad ajena a la organización del responsable o encargado del tratamiento. Es importante que cada miembro de la organización que ejerza las funciones de DPD cumpla los requisitos aplicables del RGPD, es fundamental que nadie tenga conflicto de intereses.

Es igualmente fundamental que cada uno de los miembros esté protegido por las disposiciones del RGPD como la destitución improcedente del miembro que realice las funciones del DPD en  la organización o las que impiden la rescisión injustificada del contrato de servicios motivada por la actividad del DPD.

En este supuesto el RGPD también prevé garantías que contribuyen a asegurar la autonomía del DPD externo estableciendo “sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.”

 ¿Cuál es la responsabilidad de un DPD?

Los delegados de protección de daros no son responsables personalmente en caso de incumplimiento del RGPD. Es el responsable o encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza conforme al RGPD.

Si el responsable o encargado del tratamiento toman decisiones incompatibles con el RGPD el DPD debe tener la posibilidad de expresar sus discrepancias a la dirección y a los encargados de la toma de decisiones.