¿Debes designar un Delegado de Protección de Datos?

La reciente aplicación del Reglamento General de Protección de Datos (RGPD), supone una renovación en el ámbito de protección de datos de la Unión Europea, entre otras novedades, la designación del Delegado de Protección de Datos (DPD), elemento central para muchas organizaciones e instituciones que facilitará el cumplimiento del Reglamento.
Pero ¿qué se entiende por DPD? Cabe mencionar que ni el RGPD ni las directrices establecen una definición clara de esta figura. Por ello, el 13 de diciembre de 2016, el Grupo de Trabajo sobre Protección de Datos del artículo 29 adoptó las directrices sobre los Delegados de Protección de Datos, con el objetivo de aclarar las disposiciones contenidas en el RGPD y, por ende, ayudar a los responsables y encargados del tratamiento en su cumplimiento.
El DPD (arts. 37 a 39 del RGPD), es decir la persona física o jurídica, empleado en plantilla o mediante contrato de servicios, podrá ser designado por el responsable o encargado del tratamiento, atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos en Derecho y la práctica en materia de protección de datos, así como su experiencia. Dicha designación será obligatoria en los supuestos contemplados en el art 37.1, que toma en consideración conceptos específicos como “instituciones u organismo público”, “actividades principales” y tratamiento a “gran escala” que requieran “observación habitual y sistemática” o de forma voluntaria, entendiéndose como obligatoria desde el momento de su nombramiento y por tanto supeditado al cumplimiento de los requisitos establecidos.
En este sentido, el artículo 37.7 del RGPD establece que el responsable o el encargado del tratamiento deberán publicar los datos de contacto del DPD y comunicarlos a la pertinente autoridad de control, en el caso de España la Agencia Española de Protección de Datos.
Sin embargo, en la práctica las organizaciones pueden plantearse dudas sobre la obligatoriedad de la designación de un DPD. Ante esta situación, se recomienda llevar a cabo un análisis interno documentado y actualizado durante la existencia de la organización, en el que se pongan de manifiesto qué factores fundamentales se han tenido en cuenta con el fin de determinar dicha decisión.
El DPD, uno de los ejes principales del principio de responsabilidad “accountability”, deberá desempeñar sus funciones (informar y asesorar al responsable o encargado del tratamiento y a los empleados en materia de protección de datos, supervisar el cumplimiento del RGPD, ofrecer asesoramiento acerca de la evaluación de impacto, cooperar y actuar como punto de contacto con la autoridad de control y notificación y comunicación de las violaciones de seguridad,) en atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento, de modo que participe adecuadamente y en el tiempo oportuno en las cuestiones relativas a protección de datos.
Asimismo, el DPD para desempeñar el ejercicio de sus funciones de manera independiente se encuentra respaldado por distintas garantías como no recibir instrucciones por parte de los responsables o encargados del tratamiento en lo relativo a sus funciones, no ser sancionado o destituido como consecuencia del desempeño de su cargo y la no existencia de un conflicto de intereses entre las funciones inherentes a su cargo en la organización y las correspondientes como DPD.