Es uno de los cambios más importantes y novedosos que establecen los artículo 37-39 del nuevo Reglamento Europeo de Protección de Datos. Así, el Delegado de Protección de Datos, se prevé como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos y se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Podemos definir al Delegado de Protección de Datos como <la persona con capacidad y experiencia que se designa por un dirigente con competencia o por una empresa para revisar, examinar y evaluar con coherencia los resultados del tratamiento de datos de carácter personal en una entidad o empresa con el propósito de informar o dictaminar acerca de estos, realizando las observaciones y recomendaciones necesarias para mejorar su eficacia y eficiencia en su desempeño.>
¿En qué casos será totalmente obligatorio contar con un Delegado de Protección de Datos?
El artículo 37.1 del Reglamento fija la obligatoriedad de su designación en estos casos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Para las actividades principales del responsable o del encargado que consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Para las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.
Debido a la inconcreción de muchos de sus artículos, varias de las expresiones anteriores han tenido que ser precisadas por el G29, un grupo de trabajo con vistas a clarificar el Reglamento y formado por autoridades en privacidad de todos los Estados miembros. Para empezar, “actividades principales” debe entenderse como la actividad primaria de la empresa, por lo que no se incluyen las empresas en las que el tratamiento de datos sea una función subsidiaria a su actividad central. “A gran escala”, por otro lado, es una disposición ciertamente imprecisa y que debería contener una cifra concreta. El G29 ha hecho saber que publicará umbrales que orienten al respecto. En cuanto a “seguimiento regular y sistemático”, también presente literalmente en el Reglamento, incluirá todos los modos de comportamiento online y offline. Más allá de los organismos públicos, que queda claro que deben contar con su correspondiente DPO, en los otros dos supuestos existen algunas indeterminaciones, que, como hemos visto, han provocado que el G29 se pronuncie.
¿Qué requisitos debe cumplir el Delegado de Protección de Datos?
- Experiencia y conocimiento de la materia y de la interpretación y adecuación práctica para aplicar la normativa sobre protección de datos, incluyendo medidas de seguridad en todos los procesos técnicos y administrativos y de desarrollo de la empresa.
- Conocimiento concreto de la materia aplicados a los diferentes sectores.
- Experiencia y capacidad para asistir a la razón social ante inspecciones, requerimientos de las autoridades competentes y cualquier tipo de consulta de los terceros afectados por el tratamiento de datos de la razón social.
- Habilidades de negociación, formación y empatía para trabajar con representantes de trabajadores, y por supuesto con los propios trabajadores de la empresa.
Es importante recalcar que el delegado de protección de datos puede ser contratado externamente para realizar este servicio, pero también puede ser designado como tal entre el personal laboral que se encuentra ya en la plantilla de la empresa, siempre y cuando reúna los requisitos enunciados.
¿Qué funciones desempeña el Delegado de Protección de Datos?
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones sobre protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones sobre protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa, y consultar en su caso, sobre cualquier otro asunto.
- El DPD realizará una evaluación de riesgos y en su caso (datos especialmente protegidos) una evolución de impacto sobre los riesgos que puedan afectar a la empresa.
- El DPD creará un registro de ficheros internos, junto con las medidas de seguridad necesarias para proteger a la empresa de los riesgos detectados.
- Recopilará todo en un único Documento (Normativa Interna sobre protección de Datos) que deberá regir el comportamiento de los miembros de la organización en materia de Protección de Datos.