La normativa prevé diferentes situaciones en las que es obligatorio, para el responsable y el encargado del tratamiento de los datos, designar un Delegado de Protección de Datos (DPD en adelante), que dependen de la naturaleza jurídica del responsable y el encargado, del carácter más o menos invasivo del tratamiento o de los tipos de datos personales tratados.
En primer lugar, y con base en el artículo 37 RGPD, se establecen tres supuestos para determinar cuándo es necesario incorporar la figura del DPD.
- el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
En relación con el tratamiento de datos a gran escala, debe atenderse a los presupuestos establecidos por el Grupo de Trabajo del artículo 29:
- Afecta a un gran número de interesados.
- El volumen y variedad de elementos de datos es muy grande.
- La duración del tratamiento es prolongada en el tiempo.
- Se trata de una actividad de gran alcance geográfico.
Por ejemplo, un hospital se ve obligado al nombramiento de un DPD porque, según lo establecido en el artículo 34.1.l del RGPD:
“Los centros sanitarios están legalmente obligados al mantenimiento de las historias clínicas de los pacientes”.
En el supuesto del hospital, además de no realizar la actividad principal de manera individual, sino conjunta de varios especialistas, se cubrirían todas las premisas para la adopción de la figura del DPD.
En el nombramiento del DPD se tendrá en consideración el artículo 37.5 RGP, en el que se establece que:
“el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en derecho y la práctica en la materia de protección de datos y a su capacidad para desempeñar funciones indicadas en el artículo 39”
Es por ello, que la designación del DPD debe realizarse atendiendo a una serie de cualidades profesionales y conocimientos especializados teóricos y prácticos en materia de protección de datos que la persona o entidad que asuma el rol, debe poseer. Así, debe reunir una serie de competencias y habilidades personales que le permitan adentrarse en el contexto de la organización, conocer los procesos de su actividad y ofrecer soluciones funcionales.
Según lo establecido en el artículo 35, para la designación del DPD, la cualificación podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en la materia de protección de datos.
Una vez designado, el Delegado de Protección de Datos será responsable de:
- Velar por el cumplimiento de la normativa sobre protección de datos, siguiendo las directrices establecidas por el encargado y el responsable del tratamiento de datos personales.
- Supervisar, vigilar y controlar que la normativa sobre protección de datos se cumple y realizar sus funciones de manera interna con exclusiva dedicación.
- Desde la independencia, reportar las deficiencias a la alta dirección y a su responsable y encargado del tratamiento de los datos.
En el ámbito de la organización, las funciones a desarrollar por el DPD serán:
- Informar y asesorar a la entidad y a sus empleados sobre las obligaciones en materia de protección de datos y la legislación aplicable.
- Supervisar el cumplimiento de la normativa, incluida la asignación de funciones y la formación.
- Asesorar en la realización de evaluaciones de impacto sobre protección de datos.
- Actuar como interlocutor de la entidad ante la AEPD.
- Atender las reclamaciones previas de los interesados.
- Atender en primera instancia las reclamaciones contra la entidad presentadas ante la AEPD, debiendo dar respuesta en el plazo de un mes.
El nombramiento de DPD será notificado a la Agencia Española de Protección de Datos. Los datos de contacto del DPD serán públicos para que los interesados puedan contactar directamente con la persona que desempeñe estas funciones.