Como ya hemos comentado anteriormente en este blog, la norma europea está llena de novedades. Es el turno ahora del Delegado de Protección de Datos, DPD o DPO en sus siglas en inglés (Data Protection Officer), que es una de las figuras destacadas en el RGPD.
A pesar de que el RGPD no da definición de DPD, podemos definirlo como aquella persona, física o jurídica, designada por el responsable o el encargado del tratamiento, debidamente cualificada para asesorar, informar y supervisar de manera independiente, acerca de la aplicación interna y el cumplimiento de las normas en materia de protección de datos.
Lo que sí que hace el Reglamento en los artículos 37 a 39, es indicarnos cómo y cuándo ha de ser designado, cuál va a ser su posición, y cuáles son sus funciones.
¿Cuándo debe designarse un DPD?
El art. 37 establece que será obligatorio para responsable y encargado de tratamiento en tres supuestos específicos:
– Cuando el tratamiento se realice por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. En este caso, se podrá designar un único delegado de protección de datos para varias autoridades u organismos, en función de su estructura organizativa y tamaño.
En España deberemos entender como autoridad u organismo público todas las Administraciones públicas, esto es, la Administración General del Estado, las Administraciones de las Comunidades Autónomas, la Administración Local, así como los organismos públicos y entidades de derecho público.
Asimismo, y en relación a la designación de un único DPD para varias autoridades u organismos, la directora de la AEPD ha indicado, como ejemplo, que en España no sería necesario designar un DPD para cada uno de los organismos autónomos de un Ministerio, sino que sería suficiente designar un único DPD para dicho Ministerio a nivel estatal.
– Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, término ya analizado en este blog cuando hablamos de la evaluación de impacto relativa a la protección de datos (EIPD).
A tenor del considerando 97, se entienden como actividades principales aquellas relacionadas con “actividades primarias y no con el tratamiento de datos personales como actividades auxiliares”.
Por su parte, el Grupo de Trabajo del 29 en su Guía sobre el Delegado de Protección de Datos (DPO) considera como actividades principales las “operaciones clave necesarias para lograr los objetivos del responsable o encargado de tratamiento”. Por ejemplo, la actividad principal de un hospital es la prestación de servicios y cuidados sanitarios, que conlleva necesariamente el tratamiento de datos de salud de sus pacientes. Ese mismo hospital también realiza otras actividades, como puede ser el pago de nóminas, pero son consideradas funciones auxiliares o secundarias.
– Si las actividades principales del responsable o del encargado de tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos, y datos personales relacionados con condenas e infracciones penales.
También debe designarse un delegado de protección de datos cuando así lo exija el Derecho de la Unión o de los Estados miembros, como por ejemplo hace actualmente Alemania al incluir y regular la figura del “Beauftragter für den Datenschutz” en la Ley Federal de Protección de Datos.
En otros casos, los responsables, encargados o las asociaciones u organismos que agrupen a categorías de responsables o encargados, como podría ser por ejemplo un Colegio Profesional, pueden designar un DPD, que podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
Otra cuestión a tener en cuenta es la posibilidad que da el apartado 2 del art. 37 del RGPD a los grupos empresariales de nombrar un solo DPD siempre que sea accesible desde cada establecimiento del grupo. La AEPD aclara en su Guía RGPD para Responsables del Tratamiento, que la accesibilidad debe entenderse en un sentido amplio, e incluye la accesibilidad física para el propio personal del grupo y también la posibilidad de que los interesados contacten con el DPD en su lengua, aun cuando el DPD esté adscrito a un establecimiento en otro Estado Miembro.
¿Es recomendable designar un DPD si el RGPD no me obliga?
La respuesta debe ser SÍ. Fuera de los supuestos antedichos, una organización puede designar un DPD de forma voluntaria, aunque no esté obligada legalmente. A este respecto, el GT29 en su Guía sobre el Delegado de Protección de Datos recomienda que responsables y encargados del tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPD.