Es uno de los cambios más importantes y novedosos que establecen los artículo 37-39 del nuevo Reglamento Europeo de Protección de Datos. Así, el Delegado de Protección de Datos, se prevé como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos y se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Podemos definir al Delegado de Protección de Datos como la persona con capacidad y experiencia que se designa por un dirigente con competencia o por una empresa para revisar, examinar y evaluar con coherencia los resultados del tratamiento de datos de carácter personal en una entidad o empresa con el propósito de informar o dictaminar acerca de estos, realizando las observaciones y recomendaciones necesarias para mejorar su eficacia y eficiencia en su desempeño.
¿En qué casos será obligatorio contar con un Delegado de Protección de Datos?
El artículo 37.1 del Reglamento fija la obligatoriedad de su designación en estos casos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.
Funciones del Delegado de Protección de Datos
- Asesoramiento al responsable
- Supervisión del cumplimiento normativo
- Cooperación y enlace con la autoridad de control
- Atención a los interesados
Debido a la inconcreción de muchos de sus artículos, varias de las expresiones anteriores han tenido que ser precisadas por el G29, un grupo de trabajo con vistas a clarificar el Reglamento y formado por autoridades en privacidad de todos los Estados miembros. Para empezar, “actividades principales” debe entenderse como la actividad primaria de la empresa, por lo que no se incluyen las empresas en las que el tratamiento de datos sea una función subsidiaria a su actividad central. “A gran escala”, por otro lado, es una disposición ciertamente imprecisa y que debería contener una cifra concreta. El G29 ha hecho saber que publicará umbrales que orienten al respecto. En cuanto a “seguimiento regular y sistemático”, también presente literalmente en el Reglamento, incluirá todos los modos de comportamiento online y offline.
El DPO será designado o contratado según su capacidad para ejercer las atribuciones fijadas, a partir de sus cualidades profesionales y, concretamente, de sus conocimientos en materia de Derecho y protección de datos. Es importante recalcar que el delegado de protección de datos puede ser contratado externamente para realizar este servicio, pero también puede ser designado como tal entre el personal laboral que se encuentra ya en la plantilla de la empresa, siempre y cuando reúna los requisitos enunciados.