Las obligaciones del delegado de protección de datos

La relevancia de este viene determinada por las labores que el mismo tiene encomendadas, de forma genérica viene a convertirse en el garante del cumplimiento del RGPD y de la protección de los datos de carácter personal dentro de las organizaciones que cuenten con él.

Tal y como expone el grupo de trabajo del artículo 29, el DPD juega un papel esencial en la cultura de la protección de datos dentro de la organización y ayuda a implementar los elementos esenciales del RGPD tales como : i) principios de la protección de datos; ii) los derechos de los propietarios de los datos; iii) la protección de datos desde el diseño; iv) registro de las actividades de tratamiento; v) seguridad en el tratamiento; vi) notificación y comunicación de las brechas de seguridad.

No obstante, debemos matizar que la imposición de contar con un DPD, según expone la regulación europea, queda limitada a determinados supuesto: i) en entidades y organismos públicos; ii) para responsables de tratamiento que traten categorías especiales de datos a larga escala; iii) para responsables de tratamiento que monitoricen de forma continuada datos de carácter personal. No obstante, el Reglamento y por extensión, las entidades garantes del cumplimiento de este, como la Agencia de Protección de Datos, valoran muy positivamente a aquellas organizaciones que fuera de estos supuestos deciden designar a un DPD.

Si una vez analizada la organización, el responsable de los datos llega a la conclusión de la necesidad de contar con un DPD, ya sea por imposición legal o por voluntad, se debe tener en cuenta que esta figura debe cumplir conciertos requisitos, en caso contrario se entenderá que la misma no puede cumplir con las funciones que le son asignadas y el resultado será el mismo que de no haber nombrado a DPD ninguno. Todo DPD debe cumplir con las siguientes características:

• Nivel de especialización
• Cualidades profesionales y conocimiento profundo del RGPD y de la actividad que desempeña el responsable
• Habilidad para llevar a cabo la tarea.En este sentido se tendrán en cuenta tanto a las cualidades personales y conocimientos como a su posición dentro de la organización. El DPD debe ser integro en su labor y mantener un alto estándar de ética profesional.

Otras de las responsabilidades del responsable de los Datos en lo que respecta a la designación del DPD, es asegurar que este esta involucrado de manera adecuada en la materia y en todos los asuntos relativos a la protección de los datos.

Para ello el DPD debe contar con el apoyo de la organización. En este sentido, esta debe de proveer los recursos necesarios para que el DPD pueda desarrollar su tarea, debe proveer acceso a los datos de carácter personal y a las operaciones de procesamiento y debe estar comprometido a mantener su nivel de conocimiento en la materia.El Grupo de Trabajado del artículo 29, expone que deben tenerse en cuenta las siguientes consideraciones:

• El DPD debe contar con el apoyo activo de la organización en las funciones desarrolladas por él, a nivel del comité directivo o consejo de administración.
• El DPD debe contar con suficiente tiempo para completar sus actividades. A este respecto, es particularmente importante si el DPD es nombrado a tiempo parcial, compartiendo sus funciones de delegado como un complemento respecto a las propias de su trabajo en la organización, que la organización asegure que el DPD cuenta con suficiente tiempo durante su jornada para realizar las labores de DPD, pues en caso contario estas pueden ser dadas de lado.

Para ello, es buena idea establecer un porcentaje de tiempo a destinar a las labores de DPD. El DPD también deberá desarrollar un plan de trabajo donde se recojan las actividades a desarrollar como DPD.

El DPD debe ser considerado como un compañero de discusión dentro de la organización y parte de los grupos de trabajo que ocupen una posición en el tratamiento de los datos de la organización.

La organización debe asegurarse que:

• El DPO participa en las reuniones de los mandosmedios y altos de la organización.
• Su presencia es requerida previa a la toma de las decisiones que involucren temas de protección de datos. Toda la información debe pasarse al DPD de manera oportuna, permitiéndole proveer el asesoramiento adecuado.
• A la opinión del DPD se le deberá dar el debido peso, en caso de desacuerdo se debe documentar los motivos en que se fundamenta el mismo.
• El DPD debe ser consultado siempre que haya una brecha de seguridad.
• Cuando sea apropiado, el responsable deberá realizar guías de protección de datos para la organización y el DPD.
• El DPD debe estar capacitado para realizar sus funciones de forma independiente. En este sentido el Reglamento exige que el DPD, tanto como si es un empleado como si no, debe estar en una posición que le permita realizar sus tareas con total independencia.

La autonomía del DPD supone que este tendrá poder en la toma de decisiones.

• Si el responsable toma una decisión que contradice el RGPD y la opinión del DPD, este tendrá derecho a realizar un voto particular sobre la misma donde exponga su opinión.
• El DPD no podrá ser despedido o penalizado por el desarrollo de su función por el responsable.
• El puesto ocupado por el DPD debe ser estable en el tiempo.
• El DPD podrá realizar otras tareas dentro de la organización mas allá de su labor como DPD, siempre que estas tareas y obligaciones no resulten en un conflicto de intereses.

TAREAS DEL DPD

En el desarrollo de su actividad, el DPD debe prestar especial atención al tratamiento de datos que conlleve un alto riego, teniendo en cuenta la naturaleza, la finalidad el contexto y el propósito de dicho procesamiento.

Las funciones mínimas asignada por el RGPD al DPD son:

• Controlar el cumplimiento del RGPD.El DPD debe ayudar al responsable en la monitorización del cumplimiento con esta regulación.
• Recopilar información para identificar las actividades de procesamiento y analizar y chequear el cumplimiento con las actividades de procesamiento con el Reglamento
• Informa, asesorar y elaborar recomendaciones al responsable en materia de protección de datos.
• El DPD deberá en todo momento cooperar con la autoridad de control cuando sea necesario o requerido.
• El DPD debe ayudar al responsable en la realización de la evolución de impacto y supervisar su aplicación.
• El DPD debe mantener una relación de las actividades de tratamiento que se llevan a cabo bajo su responsabilidad y bajo la actividad desarrollada por el responsable.
• El DPD deberá controlar el adecuado cumplimiento de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades realizado al personal de la organización.
• Controlar que el nivel de concienciación y formación del personal que participa en las operaciones de tratamiento es el adecuado.
• Controlar la efectiva realización de las auditoríascorrespondientes
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.

Además, estas funciones se podrán ver aumentadas dependiendo de la organización y del responsable o encargado del tratamiento.

No obstante, el reglamento deja claro que, aunque el DPD es la figura encargada de realizar el seguimiento del cumplimiento de la normativa, pero no debemos olvidad que el responsable de este cumplimiento y por tanto quien responde en caso de incumplimiento será el responsable o el encargado del tratamiento.