I, la meva entitat, necessita un Delegat de Protecció de Dades? Aquesta figura l’ha d’ostentar necessàriament un advocat? Abans de respondre aquesta qüestió, és convenient conèixer algunes diferències entre un Delegat de Protecció de Dades (“DPD” o, “DPO” en les seves sigles a l’anglès, que significa: “Data Protection Officer”) i un advocat. Doncs bé, la diferència recau en el fet que el DPD exerceix un rol independent, i ofereix una visió multidisciplinària, més enllà del mer assessorament jurídic. A continuació, en els següents apartats, respondrem a la primera pregunta plantejada, coneixent amb més precisió aquells supòsits en què s’ha de designar un DPD, les funcions que realitza aquest, així com conèixer les relacions del DPD amb els diferents agents, tant dins com fora de la seva organització.
Comencem. El DPD és una nova figura introduïda per la normativa de protecció de dades per garantir el compliment d’aquesta norma a la nostra entitat. Pot ostentar aquest càrrec tant una persona física, així com jurídica, sempre i quan coincideixi en un perfil d’expert en protecció de dades i, a més tingui coneixements especialitzats en Dret, encara que no és necessari ser advocat.
A continuació, una vegada feta aquesta primera aproximació, ara es necessari saber en quins supòsits opera, i per tant, saber si és necessària la seva designació. Doncs bé, segons la normativa serà obligatòria la designació del DPD, quan: (i) el tractament el du a terme per un organisme públic; (ii) quan les operacions del tractament impliquin tractaments de grans quantitats de dades personals “gran escala”; o bé, (iii) aquestes operacions siguin pel tractament “a gran escala” de categories especials de dades personals (per exemple, de salut, dades genètiques o biomètriques).
Tenint en compte l’anterior, si es dona un dels tres supòsits, llavors serà obligatòria aquesta designació, sense interessar quelcom més com la dimensió de la companyia o el seu sector d’activitat, entre d’altres. Així, sense endinsar-nos més en l’aspecte de la designació, es necessari afegir que aquesta haurà de publicar les dades de contacte del DPD, amb la finalitat d’establir clarament el punt de contacte entre l’entitat i l’interessat; i, a més, el nomenament, la renovació i el cessament del DPD hauran de comunicar-se a l’autoritat de control competent (per exemple, www.aepd.es).
Així les coses, estiguem obligats o no, si volem anomenar a un DPD, aquest, com a mínim, haurà de realitzar les següents funcions dins de la nostra organització, vegem-los: (i) informar i assessorar de les obligacions que dimanen de la normativa de protecció de dades, amb una visió multidisciplinària més enllà dels aspectes merament jurídics (ex. Privacitat des del disseny i per defecte); (ii) supervisar el compliment de forma independent (ex. Auditor intern), sensibilització i formació del personal en protecció de dades; (iii) assessorament sobre les Avaluacions d’Impacte en matèria de Protecció de Dades personals; (iv) cooperació amb l’autoritat de control competent; i, (v) servir com a punt de contacte amb l’esmentada autoritat de control.
En resum, la nostra recomanació és informar-se bé d’aquesta nova figura, la conegui, i el més important encara, que a l’hora d’escollir el DPD, l’empresari, ja sigui en la seva qualitat de responsable com d’encarregat del tractament, s’asseguri que el DPD té els coneixements en protecció de dades; per una simple raó, doncs una mala praxis del DPD, podria comportar un risc d’incompliment, i inclús la innovació de l’organització. Així com, segons l’article 83.4 del RGPD, l’esmentat incompliment pot derivar en infraccions considerades greus i prescriuen transcorreguts dos anys; comportant sancions de fins a 10 milions d’euros, o bé quanties equivalents al 2% del volum del negoci total anual de la companyia.
Si té dubtes o consideres que necessites un Delegat de Protecció de Dades, estarem enormement encantats en ajudar-lo en aquest sentit. També pot contactar amb nosaltres a través de mgilvernet@busquets-abogados.com.