El RGPD introduce en nuestro ordenamiento jurídico una nueva figura, el delegado de protección de datos (DPO). La figura del DPO se erige en la normativa como la persona especialista y responsable de todas y cada una de las cuestiones que existan o puedan surgir en la organización relacionadas con la protección de datos personales.
Se trata de una figura obligatoria en todas aquellas organizaciones, públicas o privadas, que traten datos a gran escala o datos especialmente protegidos, respecto de la que se debe garantizar que cuenta con conocimientos especializados en protección de datos personales. Esta figura puede ser interna o externa, quedando así habilitada la posibilidad de subcontratar a un tercero que se encargue de la responsabilidad del DPO.
El perfil del DPO debe tener conocimientos especializados en materia de protección de datos, sin especificarse o requerirse en ningún momento si debe ser titulado en Derecho o titulado en Informática o Seguridad. Únicamente se requiere que cuente con los conocimientos suficientes y específicos en protección de datos que permitan desarrollar las funciones a continuación descritas.
En todo caso, y de conformidad con lo dispuesto en el artículo 39 del RGPD, el DPO se responsabilizará de las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.
Garantías del DPO
El RGPD, en su artículo 38, establece lo que podría denominarse el estatuto de funcionamiento del DPO, estableciendo así una serie de principios a los que se les otorga rango legal según los cuales se regirá el funcionamiento y el desarrollo de las funciones del DPO.
En este sentido el citado precepto enuncia una serie de garantías que, en todo caso, el responsable de fichero y el encargado de tratamiento tienen la obligación de cumplir para garantizar el normal desarrollo de las funciones del DPO.
Concretamente, dichas garantías son las siguientes:
- El responsable y el encargado del tratamiento deberán facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
- El responsable y el encargado del tratamiento deberán garantizar la independencia del DPO en el desarrollo de sus funciones. Para ello deberán garantizar los siguientes aspectos:
- Garantizar que el DPO no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
- Garantizar que el DPO no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
- Garantizar que el DPO rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
- El DPO estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
- El ejercicio de las funciones del DPO no será incompatible con el desarrollo de otras funciones dentro de la organización, siempre que no exista ni pueda existir conflicto de intereses. Del mismo modo, en caso de que el DPO sea externo, este podrá ejercer las funciones de DPO en diversos clientes, siempre que no exista ni pueda existir conflicto de intereses.