Con la entrada en vigor del Reglamento General de Protección de Datos, todas las entidades que traten datos de carácter personal de ciudadanos de la Unión Europea deben adaptar su estructura y procedimientos a la nueva norma.
Las organizaciones que, debido a su actividad principal, manejan de manera habitual un volumen considerable de datos personales que implique el análisis o seguimiento y, que permitan elaborar perfiles de ciudadanos, están obligadas a designar un DPD. Dentro de esta clasificación las empresas de mercadotecnia o profiling, por ejemplo. De igual manera, están obligadas a contar con un DPD las empresas que, por su actividad principal, traten a gran escala datos personales sensibles, como pueden ser los relativos a salud, orientación sexual, origen étnico, ideologías políticas, religión, datos biométricos, etc.
No obstante, aunque la empresa no se encuadre en los citados supuestos, puede designar de manera voluntaria a un Delegado, acción recomendable debido a la complejidad que implica la adaptación al Reglamento y las posibles multas que se estipulan por la negligencia en el cumplimiento de la norma.
Como consecuencia de ello, se requiere que la persona que ocupe este cargo posea los conocimientos o cualificación necesarios sobre la normativa y practica en materia de protección de datos. El nivel de esta especialización personal dependerá de las actividades que desarrolle la empresa, la complejidad de los tratamientos, países donde se realicen, etc.
El DPD puede ser un empleado más de la entidad o se puede contratar una figura externa, en forma de prestación de servicios. Si el DPD tiene una relación laboral con la empresa no podrá ser sancionando ni cesado por el desempeño adecuado de sus funciones, protegiendo así su independencia a la hora de aplicar correctamente lo establecido en el RGPD. En cuanto a sus obligaciones, deberá hacer hincapié en las novedades que se recogen en el Reglamento:
El RGPD establece que los responsables o encargados del tratamiento deben publicar los datos de contacto de su DPD y comunicarlos a la autoridad de control, ya que es el Delegado el que actuará como nexo de unión entre la entidad y los organismos de supervisión y los ciudadanos. Para ello, la Agencia Española de Protección de Datos ha puesto en marcha en su Sede Electrónica un procedimiento para la comunicación del DPD, que consiste en un formulario online al que se accede con certificado electrónico.