Qué funciones y responsabilidades tiene un delegado de protección de datos

En el caso de estar obligados a nombrar un Delegado de Protección de Datos (DPD) según lo establecido en el Reglamento General de Protección de Datos (RGPD) o bien, si de forma voluntaria hemos decidido designarlo, a continuación se debe definir su posición en la organización.

El DPD es el garante del cumplimiento de la normativa de protección de datos en la organización y, como tal, actúa de forma independiente.

Sus funciones se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:

- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.

- Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.

- Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.

- Cooperar con la autoridad de control. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

Cuando se introduce una nueva figura en una organización, resulta primordial definir de forma clara desde el inicio su rol y responsabilidades.

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos "participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales". Con ello, el RGPD está otorgando al DPD una posición transversal de supervisión sobre todo lo relativo a protección de datos personales.

Para que ello sea posible, es importante que el DPD pueda formar parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Una de las recomendaciones del Grupo de Trabajo del artículo 29 es que el DPD participe desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos (de manera especial, en relación con las evaluaciones de impacto).

Para el Grupo de Trabajo del artículo 29 la organización debe garantizar, por ejemplo, que:

- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.

- Que esté presente cuando se toman decisiones con implicaciones para la protección de datos (recordando que toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado).

- Su opinión debe tenerse siempre debidamente en cuenta (en caso de desacuerdo, como buena práctica, es conveniente documentar los motivos por los que no se sigue el consejo del DPD).

- Su consulta al DPD con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

Habiendo enumerado las funciones del DPD, es importante matizar el RGPD deja claro que no es personalmente responsables en caso de incumplimiento del RGPD. Es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD. En conclusión, la función del DPD es de supervisión como garante de del cumplimiento de la protección de datos de carácter personal.

Irene Rossello

Abogada