¿Estoy obligado a designar un Delegado de Protección de Datos en mi empresa?
La respuesta es que NO TODOS LOS RESPONSABLES DE TRATAMIENTO ESTÁN OBLIGADOS A DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS (DPD – DPO) EN SU ACTIVIDAD.
El Artículo 37 del nuevo RGPD (aprobado desde 2016 pero de total aplicación en Mayo de 2018) dispone que:
El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
NO HAY QUE DEJARSE ASUSTAR POR LAS EMPRESAS QUE ACTUALMENTE UTILIZAN EL DESCONOCIMIENTO O EL MIEDO PARA LA CONTRATACIÓN DE SUS SERVICIOS EN PROTECCIÓN DE DATOS PERSONALES
Siguiendo con el Artículo 37 del RGPD, leemos que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6.”
Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado, pero el RGPD no exige que deba ser un jurista, aunque sí debe contar con ese conocimiento en Derecho anteriormente citado. Fuente www.agpd.es
Continuando con el mismo Artículo, leemos también que “El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”, con lo cual nos encontramos con unas funciones que puede desarrollar el propio personal del Responsable de Tratamiento, o que el propio RT puede contratar a través de un servicio externo a su actividad.
Lo importante es recalcar que en el 95% de los casos, el DPD – DPO será de carácter voluntario, ya que el concepto de “tratamiento de datos a gran escala” es primordial para aseverar la obligatoriedad de tal figura en nuestra actividad profesional.