El Reglamento (UE) 2016/679 de 27 de Abr DOUE (Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y derogación de la Directiva 95/46/CE (Reglamento general de protección de datos)) (RGPD), publicado el 4 de mayo de 2016, entró en vigor ese mismo mes y será de aplicación a partir del 25 de mayo de 2018. Entre sus muchas novedades, en el artículo 37 RGPD se encuentra regulada la obligación de designar un delegado de Protección de Datos (en adelante DPD). En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.
El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
Este sistema de notificación electrónica -que permite realizar la comunicación de los datos del Delegado de Protección de Datos (tanto si se trata de una persona física como de una entidad pública o privada actuando como Delegado) así como los datos de todas aquellas entidades para las que este haya sido designado- no se circunscribe únicamente a las Administraciones Públicas y las entidades privadas obligadas. Las empresas que no estén obligadas por las previsiones del Reglamento a designar un DPD y que quieran implantar esta figura en el sus organizaciones como apoyo al cumplimiento pueden utilizar este formulario con el fin de comunicarlo.
Según el art. 37, RGPD, el responsable o el encargado del tratamiento publicará los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
Fuente: AEPD
Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el art. 39, RGPD
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
El delegado de protección de datos tendrá como mínimo las siguientes funciones (art. 39, RGPD):
El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.
Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública la persona nombrada como DPD debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización. A estos efectos, ya existe regulación normativa en relación a la creación de la figura de delegada o delegado de Protección de Datos (ejmp: ACUERDO de la Mesa del Parlamento Vasco, de 27 de marzo de 2018, relativo a la creación de la figura de delegada o delegado de Protección de Datos del Parlamento Vasco.).