Delegado de Protección de Datos
El Art. 34 de la LOPDGDD 3/2018, trae una importante novedad consigo, ya que además de los supuestos que recoge el Art. 37 del RGPD, se detallan, y amplían las casuísticas en las que la designación de un DPD será obligatoria.
Algunos de los ejemplos más relevantes son los siguientes. No obstante, la lista completa puede consultarse aquí, en el artículo 34, señalado anteriormente:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades aseguradoras y reaseguradoras.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. No obstante, en este caso hay una salvedad, dado que se indica que: “Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. .” Es decir, sanitarios que ejerzan su profesión por cuenta propia.
- Las empresas de seguridad privada.
Asimismo, y fuera de los supuestos indicados en la normativa, es igualmente muy recomendable la designación de un DPD de forma voluntaria en las organizaciones, cuyo nombramiento también habrá de notificarse a la Agencia Española de Protección de Datos mediante el procedimiento establecido (Art. 34.3. LOPDGDD 3/2018), al igual que en aquellos casos en los que la designación es obligatoria.
- Informar y asesorar al Responsable o Encargado y a los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
- Supervisar el cumplimiento de dicha normativa.
- Asesorar respecto de la evaluación de impacto relativa a la protección de datos, para lo que deberá aconsejar al Responsable de Tratamiento sobre:
- Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos.
- Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos.
- Si se debe llevar a cabo esta evaluación de impacto con recursos propios o mediante una contratación externa.
- Qué salvaguardas, incluidas las medidas técnicas y organizativas a interponer, deben aplicarse para mitigar cualquier riesgo para los derechos o intereses de los afectados.
- Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y si la conclusión de la misma es conforme a la normativa en la materia.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto para cualquier cuestión relativa a los tratamientos.
- Ayudar al Responsable o Encargado de tratamiento a controlar el cumplimiento interno del RGPD, para lo que necesitará:
-
- Recabar la información necesaria para determinar las actividades de tratamiento.
- Analizar y comprobar la conformidad de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al Responsable o Encargado de tratamiento.
- Deberá considerar debidamente el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance y los fines del tratamiento.
- Elaborar inventarios y mantener un registro de las operaciones de tratamiento basados en la información que les proporcionan los diversos departamentos de su organización responsables del tratamiento de datos personales
- Comunicar a los órganos de administración y dirección del RT o del ET la existencia de una vulneración relevante en materia de protección de datos, y proporcionar las medidas necesarias para evitar la persistencia de esta conducta.
- Recibir las reclamaciones contra un RT o ET presentadas por un afectado, comunicar al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
- Recibir las reclamaciones contrato un RT o ET por parte de un afectado, directamente de Agencia Española de Protección de Datos o, de las autoridades autonómicas de protección de datos, cuando el afectado se ha dirigido a las autoridades de control directamente, debiendo dar respuesta en el plazo de un mes.
Establecido lo anterior, respecto de la posición dentro de la organización del DPD atendiendo a lo establecido en el artículo 36 de la misma LOPDGDD, cabe señalar lo siguiente:
- Cuando el DPD se trate de una persona física contratada por una entidad u organización, no podrá ser amonestado ni sancionado por el Responsable o Encargado para el que preste sus servicios en el desempeño de sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Por tanto, se garantiza de esta forma la independencia del DPD dentro de la organización mediante la evitación de cualquier conflicto de intereses.
- En el ejercicio de sus funciones el DPD tendrá acceso a todos los datos personales y procesos de tratamiento, sin posibilidad de oposición a ello por parte del Responsable o Encargado.
- En caso de que el DPD detecte cualquier irregularidad relevante en la materia, deberá documentarlo y comunicarlo de forma inmediata a la Dirección y Órgano de Administración del Responsable o Encargado de Tratamiento.