Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado del tratamiento. 

 

La introducción de la figura del Delegado con el nuevo RGPD 

 

Desde mayo del 2018 resulta de obligado cumplimiento el nuevo Reglamento Europeo de Protección de datos (en adelante RGPD), con el que nace una nueva figura denominada Delegado de Protección de datos (en adelante DPO). Esta figura tiene entre sus funciones principales asesorar, supervisar, e informar de las obligaciones y políticas en materia de protección de datos. También tiene como función, actuar como intermediario entre las autoridades de control en esta materia (Agencia Española de Protección de Datos, en adelante AEPD o agencias autonómicas) y el propio Responsable del Tratamiento.

 

¿Quiénes deben nombrar un DPO? 

 

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. 
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 

La Ley de protección de datos española (en adelante LOPDGDD), aclara y establece taxativamente, en su articulado 34, los supuestos en lo que resulta obligatorio contar con un Delegado de Protección de datos. 

 

¿Cuáles son las funciones de esta figura? 

 

Establecido lo anterior y como concreción del papel y función del DPO, deben tenerse en cuenta las siguientes consideraciones: 

1. 1. El DPO responde y debe reportar sobre su trabajo (informes, recomendaciones, etc.), directamente al Responsable de tratamiento (en adelante RT) u órgano directivo de la organización; de esta manera, éste se convierte en el interlocutor válido del DPO (art. 36.4 LOPDGDD). Dicho artículo establece que el DPO en el caso de documentar una vulneración en materia de protección de datos, procederá a la comunicación inmediata a los órganos de administración y dirección del Responsable o del Encargado. A su vez. Tanto el RT como el ET deben respaldar al DPO en el ejercicio de sus funciones (Art. 38.2).
       
   2. El DPO debe disponer de medios y recursos adecuados y suficientes para el desarrollo de sus funciones; por lo tanto, el RT o ET deben, en el momento de su designación concretar dichos recursos a disposición del DPO (Art. 38.2 del RGPD).
       
   3. Tanto en el caso de DPO interno como externo, se garantizará por parte del RT o ET la independencia y autonomía del DPO en el desarrollo de sus funciones. Para garantizar dicha autonomía e independencia, al margen de que no exista conflicto de intereses a la hora de su nombramiento, el DPO no podrá ser sancionado ni removido de su puesto por el desarrollo de sus funciones, salvo dolo o negligencia por su parte (Art. 38.3 RGPD).
       
   4. Por su parte, el DPO está obligado a mantener el secreto y la confidencialidad respecto a aquella información o datos a los que acceda con motivo del desarrollo de sus funciones (Art 38.5).

 

• Según el art. 36.1 de la LOPDGDD, el DPO, en el desarrollo de sus funciones como tal, podrá inspeccionar procedimientos relativos a la protección de datos, acceder a datos personales y procesos de tratamiento, no pudiendo oponerse el RT o ET a dicho acceso.
  En este apartado cabría resaltar que sería muy conveniente y deseable que el RT o ET contaran con el asesoramiento previo del DPO a la hora de establecer dichos procesos o procedimientos; por tanto, nuestra recomendación es que la figura del DPO en las entidades sea incluida en las reuniones de la dirección estratégica de la misma, de tal forma que, la materia de protección de datos sea tenida en cuenta desde el diseño de dicha estrategia (“privacy by design”). De esta manera se garantizará el cumplimiento del art. 38.1 del RGPD: garantizar la “participación adecuada y en tiempo”, en todo lo concerniente a la Protección de Datos. 

 

 

• En caso de que un interesado (titular de los datos) pretendiera presentar una reclamación, ejercer algún derecho en materia de protección de datos, así como realizar cualquier consulta relativa a la misma, ante el RT o ET, podrá dirigirse al DPO (art. 37.1 de la LOPDGDD).
  De hecho, los interesados podrán ponerse directamente en contacto con el DPO, para cualquier cuestión relativa a la Protección de Datos (Art. 38.4 RGPD).

 

 

• En el supuesto de que dicha reclamación del interesado se dirigiera directamente a la autoridad de control, ésta la trasladará al DPO, para que le dé respuesta en el plazo de 1 mes al interesado, así como a la autoridad de control (art. 37.2 de la LOPDGDD). 

 

 

De manera ilustrativa, a continuación, contemplamos la regulación establecida en el RGPD, en relación a las funciones del DPO, en concreto en su art 39: 

A) En primer lugar, debemos indicar que lo que el RGPD establece en este artículo como Funciones del DPO es un catálogo de mínimos, es decir, se le pueden asignar más funciones por parte del RT o del ET. 

B) En cuanto a sus funciones concretas. 

• • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en protección de Datos. De esta función se puede inferir que es competencia del DPO la formación de dichos empleados.
  • Supervisar el cumplimiento de lo dispuesto en la normativa de  protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

Publicado el 27 de Septiembre de 2021
Por María González
Responsable del Departamento Jurídico