Delegado de Protección de Datos. Reglamento (UE) 2016/679 del Parlamento Europeo

A partir del 25 de mayo de 2018 será aplicable el nuevo marco que regula la protección de datos personales en toda Europa, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Una de las novedades que establece la nueva normativa es la figura del delegado de protección de datos.

¿Quiénes están obligados a disponer de delegado de protección de datos?

No todas las empresas u organizaciones están obligadas a tener esta figura, sólo están obligadas a nombrar delegado de protección de datos las que estén en algunas de las siguientes circunstancias:

1. Se trate de una autoridad u organismo público, con independencia de los datos que procesen, quedando excluidos los tribunales de justicia.
   La ley nacional de cada estado será la que determine que debe entenderse por autoridad u organismo público.
2. Que la actividad principal de la empresa consista en operaciones de tratamiento de datos de forma sistemática y a gran escala.
   Sobre el significado de estos términos el Grupo de Trabajo del Artículo 29 (el GP29), un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad ha precisado algunos conceptos:
   • La actividad principal debe estar relacionada con actividades primarias y no el tratamiento de datos personales como actividad auxiliar. Pero incluye aquellas actividades en las que el tratamiento forma parte intrínseca de la actividad de la empresa.
   • Para definir lo que es un tratamiento a gran escala, debe tenerse en cuenta el número de interesados involucrados; el volumen de datos o el abanico de diferentes conceptos que se procesan; la duración, o permanencia, de la actividad del tratamiento de datos; el alcance geográfico de la actividad.
   • Por habitual puede entenderse como continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados; que se produce de forma constante o periódica.
   • Y sistemático se interpreta como que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; llevado a cabo como parte de una estrategia.
3. Que la actividad principal sea el procesamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

¿Qué conocimientos debe tener?

El delegado de protección de datos debe ser designado atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados en derecho y a la práctica en materia de protección de datos y a su capacidad para desempeñar determinadas funciones.

¿Debe ser un empleado?

No necesariamente, puede ejercerse también sobre la base de un contrato de servicios suscritos con una persona física u organización ajena a la empresa.

¿Debe publicarse el cargo?

Sí, la empresa deberá publicar los datos del delegado de protección de datos y comunicarlo a la autoridad supervisora correspondiente.

¿Cómo debe ser la relación del delegado y la empresa?

La posición de delegado de protección de datos en la empresa debe cumplir determinados requisitos, por ejemplo, total autonomía en el ejercicio de sus funciones, necesidad de que se relacione con el nivel superior de la dirección, obligación de que la empresa le facilite todos los recursos necesarios para el desarrollo de su actividad.

¿Qué funciones desempeña el delegado de protección de datos?

• Informa y asesora de las obligaciones que le incumben a la empresa y a los empleados que se ocupen del tratamiento.
• Controla el cumplimiento de la normativa sobre protección de datos.
• Asesora a la empresa cuando lleve a cabo una evaluación de impacto y controla su ejecución.
• Coopera con la autoridad de control y actúa como punto de contacto con ésta.
• Las funciones del delegado de protección de datos las desempeñará centrándose en las cuestiones que presenten mayores riesgos relacionados con la protección de datos, pero sin descuidar las otras.