1. Definición
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Los técnicos de Datasur cuentan con conocimientos especializados del Derecho, y obviamente en protección de datos, actuando de forma independiente, conforme a las funciones reguladas en el artículo 39 del RGPD y 36 de la LOPDGDD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
2. Designación de Datasur como DPD
La organización debe de forma clara, identificar a Datasur, tanto ante el resto de la entidad así como ante los proveedores de servicios susceptibles de ser regulados conforme a la Normativa general de Protección de Datos.
En consecuencia, la organización debe garantizar, por ejemplo, que:
- El técnico asignado de Datasur, sea invitado a participar con regularidad en reuniones con los cuadros directivos altos y medios.
- Se recomienda que esté presente cuando se tomen decisiones con implicaciones para la protección de datos. Toda la información relevante deberá transmitirse al DPD de manera oportuna para que pueda prestar un asesoramiento adecuado.
- La opinión del DPD deberá siempre gozar de la consideración debida. En caso de desacuerdo, la entidad deberá documentar las razones de no seguir el consejo del DPD.
- Deberá consultarse con prontitud al DPD una vez que se produzca una violación de datos u otro incidente.
3. Recursos necesarios
Deben tenerse en cuenta, en especial, los siguientes aspectos:
- Nuestro técnico asignado, debe tener Apoyo activo por parte de la alta dirección (como puede ser el consejo de administración).
- Tiempo suficiente para que nuestro técnico cumpla con sus funciones. Contar con tiempo suficiente que dedicar a las tareas del DPD es de la máxima importancia. Es una práctica recomendable establecer un porcentaje de tiempo para la función del DPD.
- Apoyo adecuado en cuanto a recursos económicos, infraestructura (locales, instalaciones, equipos) y personal donde sea pertinente.
- Comunicación oficial de la designación del DPD a todo el personal para asegurar que su existencia y su función se conozcan dentro de la organización.
- Acceso necesario a otros servicios, tales como recursos humanos, departamento jurídico, TI, seguridad, etcétera, de modo que los DPD puedan recibir apoyo esencial, datos e información de esos otros servicios.
- En función del tamaño y la estructura de la organización, puede que sea necesario establecer un equipo del DPD (un DPD y su personal).
4. Funciones del DPD
Control del cumplimiento de la NGPD.
El artículo 39(1)(b) RGPD UE 679/2016 y el art. 36 de la LOPDGDD, encomienda a los DPD, entre otras funciones, la de controlar el cumplimiento de la NGPD. El considerando 97 especifica además que el DPD «debe ayudar al responsable o el encargado del tratamiento a controlar el cumplimiento interno del presente Reglamento».
Como parte de estas funciones de control del cumplimiento, los DPD pueden, en particular:
- recabar información para determinar las actividades de tratamiento,
- analizar y comprobar la conformidad de las actividades de tratamiento,
- informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
El control del cumplimiento no significa que el DPD sea responsable personalmente en caso de algún incumplimiento. La NGPD declara taxativamente que es el responsable del tratamiento, no el DPD, quien está obligado a «implementar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se lleva a cabo con arreglo al presente Reglamento» (artículo 24(1) RGDP y 28 LOPDGDD). El cumplimiento de la normativa de protección de datos es una responsabilidad corporativa del responsable del tratamiento, no del DPD.
