+34 971 22 73 99 mon-lex@mon-lex.com

Desde la entrada del Reglamento General de Protección de Datos (RGPD) nos siguen surgiendo muchas dudas respecto a su aplicación y a cómo dar cumplimiento a la normativa en nuestra empresa. Como sabemos los textos legales pueden ser largos y complejos, por ello queremos resumir aquí una de las obligaciones del RGPD: el nombramiento de un Delegado de Protección de Datos (DPD).

Antes de entrar en materia, debemos clarificar el concepto de DPD. El DPD es el garante del cumplimiento de la normativa de protección de datos en la organización. Pero, como veremos a continuación, no todas las organizaciones deben designar a un DPD.

El RGPD dispone que los responsables y encargados de tratamiento deberán designar un DPD en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembros lo considere también obligatorio. Así, según el artículo 37.1 del RGPD designarán un DPD siempre que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Para entender el concepto de “observación habitual y sistemática de interesados a gran escala”, debemos atender a la interpretación realizada por el Grupo de Trabajo del Artículo 29 en el documento “Directrices sobre delegados de protección de datos”:

  • Habitual: continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados; que tiene lugar de manera constante o periódica.
  • Sistemático: que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; llevado a cabo como parte de una estrategia.
  • Gran escala: el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia, de la actividad de tratamiento de datos; el alcance geográfico de la actividad de tratamiento.

Resulta interesante destacar aquí el detalle que ofrece el proyecto de ley orgánica de protección de datos que se está tramitando, en su artículo 34.1, donde contempla una serie de supuestos donde se deberá nombrar un delegado de protección de datos.

En todo caso, en aquellos supuestos en que no sea obligatorio el nombramiento de un DPD, los responsables y encargados de tratamiento, pueden nombrar un DPD de forma voluntaria. Se debe tener en cuenta que, en este caso, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del RGPD, como si el nombramiento hubiera sido obligatorio.

Referente al nombramiento de un DPD en una organización, en primer lugar, se debe aclarar que éste puede ser tanto una persona jurídica como una persona física. En segundo, debemos atender a sus cualidades profesionales y, en particular, debe contar con conocimientos especializados del Derecho y práctica en protección de datos. Aún con todo, se debe matizar que no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.

Por último, se debe comunicar la designación del DPD. El Grupo de Trabajo del artículo 29 señala exactamente la información que se deben comunicar:

  • Los datos de contacto del DPD deben incluir información que permita a los interesados y a las autoridades de control comunicarse con este de forma sencilla (dirección postal, un número de teléfono específico y/o una dirección de correo electrónico específica). Cuando corresponda, a efectos de comunicación con el público, podrían facilitase otros medios de comunicación, por ejemplo, una línea directa específica o un formulario de contacto específico dirigido al DPD en el sitio web de la organización.
  • Como una buena práctica, el Grupo de Trabajo del artículo 29 recomienda también que las organizaciones informen a sus empleados del nombre y datos de contacto del DPD. Por ejemplo, el nombre y los datos de contacto del DPD podrían publicarse internamente en la intranet de la organización, en el directorio telefónico interno y en el organigrama.

Irene Rossello

Abogada

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR