Y, mi entidad, ¿necesita un Delegado de Protección de Datos? ¿Esta figura la debe de ostentar un abogado? Antes de responder a la primera cuestión planteada, es conveniente conocer algunas diferencias entre un Delegado de Protección de Datos (“DPD” o, “DPO” en sus siglas en inglés, que significa: “Data Protection Officer”) y un abogado. Pues bien, la diferencia radica en que el DPD ejerce un rol independiente, y ofrece una visión multidisciplinar más allá del mero asesoramiento jurídico. A continuación, en los siguientes apartados, responderemos a la primera pregunta planteada, conociendo con más precisión aquellos supuestos en que se debe designar un DPD, las funciones que realiza el mismo, así como conocer las relaciones del DPD con los diferentes agentes, tanto dentro como fuera de su organización.
Empecemos. El DPD es una nueva figura introducida por la normativa de protección de datos para garantizar el cumplimiento de ésta en una entidad. Puede ser tanto una persona física como jurídica, siempre y cuando coincida en un perfil de experto en protección de datos y, además tenga conocimientos especializados en Derecho, aunque para ello no es necesario que sea un abogado.
A continuación, tras esta primera aproximación, ahora es necesario saber en qué supuestos opera, y por tanto, saber si es necesaria su designación. Pues bien, según la normativa será obligatoria la designación del DPD, cuando: (i) el tratamiento lo lleve a cabo un organismo público; (ii) cuando las operaciones del tratamiento impliquen tratamientos de grandes cantidades de datos personales “gran escala”, o bien, (iii) dichas operaciones consistan en el tratamiento “a gran escala” de categorías especiales de datos personales (por ejemplo, de salud, datos genéticos o biométricos).
Habida cuenta de lo anterior, si se dan uno de los tres supuestos, entonces será obligatoria tal designación, sin importar otro aspecto como el tamaño de la compañía o su sector de actividad, entre otros. Así, sin adentrarnos en el aspecto de la designación, cabe añadir que ésta deberá de publicar los datos del contacto del DPD, con el fin de establecer claramente el punto de contacto entre la entidad y el interesado; y, además, el nombramiento, la renovación y el cese del DPD deberán de comunicarse a la autoridad de control competente (ej. www.aepd.es).
Así las cosas, estemos obligados o no, si queremos nombrar un DPD, éste, como mínimo, deberá de realizar las siguientes funciones en el seno de su organización, veamos: (i) informar y asesorar de las obligaciones que dimanan de la normativa de protección de datos, con una visión multidisciplinar más allá de los aspectos meramente jurídicos (ej. privacidad des del diseño y por defecto); (ii) supervisar el cumplimiento de forma independiente (ej. auditor interno), sensibilización y formación del personal en protección de datos; (iii) asesoramiento sobre la Evaluación de Impacto en materia de Protección de Datos personales; (iv) cooperación con la autoridad de control competente; y, (v) servir como punto de contacto con dicha autoridad de control.
A resumidas cuentas, nuestra recomendación es que se informe bien de esta nueva figura, la conozca, y más importante aún, que a la hora de elegir el DPD, el empresario, ya sea en su calidad de responsable como de encargado del tratamiento, se asegure de los conocimientos de éste en protección de datos; por una sencilla razón, pues una mala praxis del DPD, podría conllevar riesgos de incumplimiento, así como crear obstáculos que impidan o retrasen la actividad de la compañía, e incluso la innovación de la organización. Así pues, según el artículo 83.4 del RGPD, dicho incumplimiento puede derivar en infracciones consideradas graves y prescriben transcurridos dos años; acarreando sanciones de hasta 10 millones de euros, o bien cuantías equivalentes al 2% del volumen del negocio total anual de la compañía.
Si tiene dudas o consideras que necesitas un delegado de protección de datos, estaremos enormemente encantados en ayudarle en este sentido. También puede contactar con nosotros a través de mgilvernet@busquets-abogados.com.