DPD / DPO

El Delegado de Protección de Datos en el RGPD 

(Si lo necesitas, ¡llámanos!)

 

El RGPD incorpora nuevos compromisos en materia de privacidad y protección de datos pero la normativa europea es poco precisa sobre la contratación de un delegado de protección de datos.
Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:
  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento
    regular y sistemático a gran escala
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas

 

Normativa aplicable

 

El Reglamento Europeo es de aplicación directa en nuestro país. Prevalece sobre la ley actual y también lo hará sobre la nueva y, por tanto, cuando se apruebe el texto definitivo, si hay algo de la nueva Ley Orgánica que contradiga lo dispuesto por el Reglamento Europeo, será éste el que prevalezca.
En la jerarquía de normas europea el reglamento ocupa la cima. Está por encima de la Directiva que exige trasposición y, por supuesto, por encima de la ley de los estados miembros.
La normativa aplicable es la siguiente:
  1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos ). 

El Delegado de Protección de Datos

 

El Reglamento crea la figura inédita del Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, otorgándole carácter obligatorio.

Sobre la misma, el considerando 97 dice que al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente

Designación


Viene regulada en el art. 37 RGPD.
Deberá ser designado por el encargado o responsable, atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
Esa designación está protegida por una salvaguarda que abarca una serie de garantías:

1. Blindaje


No podrá ser destituido por el responsable por el ejercicio de sus funciones (art. 38.3 RGPD ).

2. Autonomía


El art. 38.3 RGPD dice que «El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado».

3. Independencia


El considerando 97 dice que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

4. Disponibilidad


A ese efecto, los datos de contacto de los delegados de protección de datos deben figurar en:

La información que obligatoriamente debe darse al interesado del que se obtengan datos personales [art. 13.1.b)].

La consulta previa a la autoridad del art. 36.3.d) del Reglamento.

La información que obligatoriamente debe darse al interesado del que no se obtengan datos personales [art. 14.1.b)].

El registro de las actividades de tratamiento efectuadas bajo su responsabilidad de cada responsable [art. 30.1.a)].

El registro de las categorías de actividades de tratamiento efectuadas bajo su responsabilidad de cada responsable [art. 30.2.a)].


Integración


El delegado de protección de datos debe gozar de independencia con respecto al responsable. El considerando 97 dice que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
Se puede integrar de forma interna o externa.

En el primer caso será un empleado por cuenta ajena, contratado por medio de una relación laboral o funcionarial.

Por último, también se está planteando considerar la Protección de Datos como un servicio, pero no parece que sea admisible ni compatible con la relevancia que se pretende dar a la privacidad de los datos personales a través de las sucesivas normas comunitarias.



Funciones


Las Normas corporativas vinculantes deberán ser aprobadas por la autoridad de control cuando se cumplan los requisitos previstos en el art. 47.1 RGPD.

Esas normas deben incluir las funciones del delegado [art. 47.2.h) del Reglamento].

Genéricamente son las siguientes:

1.- Informar y asesorar

Al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

2.- Supervisar

El cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales [art. 39.1.b) RGPD ].
3.- Cooperar
El art. 39.1.d) y e) del Reglamento imponen cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Es significativo que en el caso de violaciones de seguridad, el art. 33.3.b) permita que se notifique a la autoridad de control otro punto de contacto, lo que parece evitar al delegado en este caso y no contar con él en el caso de violaciones de seguridad.