La Agencia Española de Protección de Datos (en adelante, AEPD) ha anunciado que llevará a cabo un examen para evaluar el papel de los delegados de protección de datos (en adelante, DPD) en 30.000 organismos públicos y privados de España. Se trata de una acción coordinada a nivel comunitario por el Comité Europeo de Protección de Datos y tiene como objetivo evaluar si la situación de los DPD en sus organizaciones se ajusta a lo requerido por el RGPD.
Las autoridades de control participantes remitirán un cuestionario que incluye cuestiones relacionadas, entre otras, con la designación, conocimiento y experiencia de los DPD, sus tareas y recursos o su papel y posición en sus respectivas organizaciones.
Los resultados de esta acción se analizarán de manera coordinada, permitiendo a las autoridades de control decidir sobre posibles medidas adicionales de supervisión y aplicación en sus respectivos países. Además, se consolidarán los resultados para obtener una visión más amplia y facilitar el seguimiento específico dentro del Espacio Económico Europeo. Finalmente, el Comité publicará un informe en el que detallará los resultados del análisis una vez finalizadas las acciones.
En virtud de lo anterior, es preciso recordar la obligación de nombrar un DPD siempre que (i) el tratamiento lo lleve a cabo una autoridad u organismo público, (ii) se realicen tratamientos que requieran una observación habitual y sistemática de interesados a gran escala o (iii) se realicen tratamientos a gran escala de categorías especiales de datos.
También es necesario que lo nombren las entidades recogidas en el artículo 34 de la Ley Orgánica 3/2018 de Protección de Datos y garantía de derechos digitales. Entre otras las siguientes: colegios profesionales y sus consejos generales, centros docentes, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión, distribuidores y comercializadores de energía eléctrica y gas natural, entidades que desarrollen actividades de publicidad y prospección comercial, los centros sanitarios, empresas de seguridad privada o federaciones deportivas.
No obstante, aunque la entidad no tenga obligación de designar un DPD, se recomienda nombrar a una persona responsable dentro de la organización que vele por el cumplimiento normativo de la materia.
Las funciones del DPD son las siguientes (i) informar y asesorar de las obligaciones, (ii) supervisar el cumplimiento, (iii) asesoramiento en evaluaciones de impacto y (iv) cooperar y actuar como punto de contacto con la autoridad de control.
El DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones descritas en el párrafo anterior.
Por último, debemos señalar que el DPD deber tener independencia en el desempeño de sus funciones. Las organizaciones deben garantizar que el DPD no recibe ninguna instrucción en lo que respecta al desempeño de sus funciones. Por tanto, no debe instruirse a los DPD sobre cómo abordar un asunto, con qué resultado o qué postura deben adoptar con respecto a un asunto. Para garantizar esta independencia, es necesario que no exista conflicto de interés entre la posición del DPD y otros cargos o funciones que pueda asumir la persona al mismo tiempo en la organización.
