Con el artículo de hoy ponemos fin a la serie de artículos dedicada a la figura del Data Protection Officer, para hablar de las funciones que el RGPD le atribuye en sus arts. 38 y 39.
¿Cuáles son las funciones que debe desempeñar el DPD en las organizaciones de responsables o encargados del tratamiento?
Como ya hemos comentado anteriormente en este mismo blog, el art. 38 RGPD establece unas directrices acerca de cuál ha de ser la posición del DPD, pero es en el art. 39 donde se recoge el catálogo de funciones que el DPD debe desempeñar. Dichas funciones son las siguientes:
a. Informar y asesorar al responsable o al encargado de tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y otra normativa aplicable en materia de protección de datos.
b. Supervisar el cumplimiento de lo dispuesto en el RGPD, y demás disposiciones aplicables, así como de las políticas del responsable o del encargado, incluida la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes.
c. Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto relativa a la protección de datos y supervisar su aplicación. El DPD puede desempeñar un papel muy importante a la hora de asesorar en relación a la EIPD. El GT29 recomiendo que el responsable o encargado de tratamiento soliciten el asesoramiento sobre las siguientes cuestiones:
– Si debe realizar una evaluación de impacto o no.
– Qué metodología debe seguir al efectuar una EIPD.
– Si realizar la EIPD con recursos propios o con contratación externa.
– Qué salvaguardias (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar riesgos.
– Si la EIPD se ha realizado correctamente o no.
– Si sus conclusiones son conformes con el RGPD.
d. Cooperar con la autoridad de control.
e. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
f. Desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
A parte de esas funciones, el DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros, de acuerdo con el art. 38.5 RGPD.
Es importante destacar, que el DPD deberá atender a los interesados y al ejercicio de sus derechos. Para ello, es necesario que responsable o encargado de tratamiento hagan públicos sus datos de contacto y los comuniquen a la autoridad de control. ¿Qué datos han de hacerse públicos? Los datos de contacto deben incluir información que permita a los interesados y a las autoridades supervisoras comunicarse con el DPD de forma sencilla, como por ejemplo un número de teléfono o un correo electrónico específico.
¿Qué responsabilidad personal puede tener el DPD?
El RGPD deja claro que el responsable o el encargado de tratamiento son los que están obligados a implementar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se lleva a cabo con arreglo al RGPD (art. 24.1).
La función del DPD de supervisar el cumplimiento no significa que sea responsable personalmente en caso de algún incumplimiento de la normativa aplicable en materia de protección de datos. Dicho cumplimiento es una responsabilidad corporativa del responsable o encargado del tratamiento, no del DPD.