La Agencia Española de Protección de Datos (AEPD) publica esta semana en su página web una nota de prensa. El tema que aborda es la adaptación de las Administraciones Públicas al nuevo Reglamento General de Protección de Datos (RGPD). En este artículo queremos ahondar en una de las figuras del nuevo reglamento que más incógnitas está despertando: el Delegado de Protección de Datos (DPD).
En este documento, la AEPD nos recuerda que:
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.
Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).
La Comisión Europea publicó el texto del RGPD en mayo de 2016, entrando en vigor en ese mismo mes. Sin embargo, el nuevo reglamento será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD en el ámbito público deberá haberse producido con antelación a esa fecha.
¿DPO exclusivo o compartido?
El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varias de estas autoridades u organismos. Esto siempre teniendo en cuenta su estructura organizativa y tamaño.
El RGPD prevé que el DPD podrá desarrollar su actividad a tiempo completo o a tiempo parcial. Además también podrá formar parte de la plantilla del responsable o del encargado del tratamiento. Otra posibilidad es que desempeñe sus funciones en el marco de un contrato de servicios.
En entidades de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones.
Cualificación y funciones del DPO
El RGPD establece que el DPD será designado atendiendo a sus cualidades profesionales. En particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
El RGPD señala entre las funciones del DPD las de:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.”
El Delegado de Protección de Datos, Data Protection Officer (DPO) en su denominación en inglés, es el tema de numerosos artículos en este blog. Puedes consultarlos en este enlace:
