El delegado de protección de datos

El nuevo marco legal en protección de datos de carácter personal que impone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) se basa en el principio de rendición de cuentas (accountability), esto es aquel conjunto de medidas jurídicas, tecnológicas y organizativas que suponen que el responsable y el encargado del tratamiento están obligados no solo a garantizar el cumplimiento con el RGPD sino a poder demostrar que el tratamiento de datos personales se lleva a cabo con arreglo al RGPD, esto es la llamada responsabilidad proactiva.

Y es aquí donde el Delegado de Protección de Datos (DPD) se configura como uno de los elementos clave de la rendición de cuentas efectiva, figura que como veremos es obligatoria para determinados responsables y encargados.

El DPD además de llevar a cabo evaluaciones de impacto en la protección de datos (EIPD o PIA), actúa de intermediario entre la organización que lo nombra, la autoridad o agencia de protección de datos y el interesado, esto es la persona física cuyos datos trata la organización, además de otras funciones como informar y asesorar al responsable, llevar a cabo la supervisión de sus tratamientos y formar al personal.

El RGPD exige que se designe un DPD de manera obligatoria en tres casos, que son (1) cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos, (2) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o (3) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Y aunque el RGPD no especifica la cualificación profesional del DPD, apunta que se designará en función de su cualificación profesional y, en especial, su conocimiento experto de la legislación y las prácticas de protección de datos, DPD que podrá ser interno o externo, persona física o persona jurídica, pero eso sí, especializada en protección de datos de carácter personal.

El DPD debe estar en condiciones de desempeñar sus funciones de manera independiente, señalando el RGPD que el responsable y el encargado del tratamiento deberán garantizar que se involucre, de manera adecuada y oportuna, en todas las cuestiones que guarden relación con la protección de los datos personales.

La organización debe respaldar a su DPD proporcionando los recursos necesarios para que lleve a cabo sus tareas y acceda a los datos personales y las operaciones de tratamiento, así como para mantener su conocimiento experto, siendo clave que los responsables y encargados del tratamiento están obligados a garantizar que el DPD no reciba ninguna instrucción relativa al ejercicio de sus tareas.

Y finalmente, debe nombrarse como muy tarde el 25 de mayo de 2018, día de aplicación del RGPD.