La figura del Delegado de Protección de Datos

Con la entrada en vigor del Reglamento General de Protección de Datos, todas las entidades que traten datos de carácter personal de ciudadanos de la Unión Europea deben adaptar su estructura y procedimientos a la nueva norma.

Una de las novedades más destacadas que se establece en el Reglamento es la figura del Delegado de Protección de Datos (DPD o DPO, según el acrónimo inglés). El Delegado es una figura esencial en el proceso de implantación de las medidas técnicas, organizativas y jurídicas necesarias para que la empresa cumpla con las obligaciones que establece el RGPD.

Las organizaciones que, debido a su actividad principal, manejan de manera habitual un volumen considerable de datos personales que implique el análisis o seguimiento y, que permitan elaborar perfiles de ciudadanos, están obligadas a designar un DPD. Dentro de esta clasificación las empresas de mercadotecnia o profiling, por ejemplo. De igual manera, están obligadas a contar con un DPD las empresas que, por su actividad principal, traten a gran escala datos personales sensibles, como pueden ser los relativos a salud, orientación sexual, origen étnico, ideologías políticas, religión, datos biométricos, etc.

No obstante, aunque la empresa no se encuadre en los citados supuestos, puede designar de manera voluntaria a un Delegado, acción recomendable debido a la complejidad que implica la adaptación al Reglamento y las posibles multas que se  estipulan por la negligencia en el cumplimiento de la norma.

Como consecuencia de ello, se requiere que la persona que ocupe este cargo posea los conocimientos o cualificación necesarios sobre la normativa y practica en materia de protección de datos. El nivel de esta especialización personal dependerá de las actividades que desarrolle la empresa, la complejidad de los tratamientos, países donde se realicen, etc.

El DPD puede ser un empleado más de la entidad o se puede contratar una figura externa, en forma de prestación de servicios. Si el DPD tiene una relación laboral con la empresa no podrá ser sancionando ni cesado por el desempeño adecuado de sus funciones, protegiendo así su independencia a la hora de aplicar correctamente lo establecido en el RGPD. En cuanto a sus obligaciones, deberá hacer hincapié en las novedades que se recogen en el Reglamento:

• Gestión apropiada de los derechos de los ciudadanos.
• Análisis de los riesgos vinculados a los tratamientos.
• Actualización del inventario de los tratamientos y revisión de la base legal de su finalidad. Obtención del consentimiento informado y explícito.
• Colaborar en la notificación de posibles infracciones en la seguridad de datos.
• Asesorar y colaborar con otras áreas o departamentos de la empresa para implantar las apropiadas medidas de seguridad.
• Revisar y cumplir los requerimientos del RGPD para las transferencias o cesiones de datos a terceros.

El RGPD establece que los responsables o encargados del tratamiento deben publicar los datos de contacto de su DPD y comunicarlos a la autoridad de control, ya que es el Delegado el que actuará como nexo de unión entre la entidad y los organismos de supervisión y los ciudadanos. Para ello, la Agencia Española de Protección de Datos ha puesto en marcha en su Sede Electrónica un procedimiento para la comunicación del DPD, que consiste en un formulario online al que se accede con certificado electrónico.