La Agencia Española de Protección de Datos explica en la Guía del Reglamento General de Protección de Datos para responsables de tratamiento la figura del Delegado de Protección de Datos introducida por el nuevo Reglamento europeo (Reglamento General de Protección de Datos, en adelante RGPD). A continuación, explicaremos las peculiaridades de esta nueva figura y, qué relación tiene con las Directrices para la elaboración de contratos entre responsables y encargados de tratamiento también publicadas por la Agencia.
¿Es obligatoria la figura del DPD?
El RGPD establece la figura del Delegado de Protección de datos (DPD), que será obligatorio en determinados casos como cuando el tratamiento lo lleve a cabo una autoridad u organismo público. Las organizaciones también pueden designar un DPD de forma voluntaria. El Grupo del artículo 29 ha adoptado un Dictamen sobre la designación de los DPD en el que recomienda, a menos que resulte obvio que una organización no requiere designar un DPD, que tanto los responsables como los encargados de tratamiento documenten el análisis interno llevado a cabo para determinar si debe nombrarse o no un DPD a fin de demostrar que se han tenido en cuenta adecuadamente los factores necesarios y que se ha tomado la decisión en base a un análisis documentado.
¿Si se externalizan las funciones del DPD a un tercero, éste tiene la consideración de encargado del tratamiento?
La función del DPD puede llevarse a cabo también sobre la base de un contrato de servicios suscrito con una persona física o una organización ajena a la organización del responsable o el encargado del tratamiento. De esta manera, se permite que el DPD mantenga con los responsables o encargados una relación laboral o una relación jurídica basada en un contrato de servicios.
Por lo tanto, como el RGPD prevé que el DPD debe poder acceder a los datos que se traten, deberá formalizarse un contrato de encargo, si se externalizan las funciones del DPD a un tercero deberá suscribirse un contrato de encargo.
Designación y datos de contacto del DPD
Tanto la designación como los datos de contacto del DPD deben hacerse públicos por los responsables y encargados y, además, deberán ser comunicados a las autoridades de supervisión competentes.
Este un claro ejemplo más del trabajo del nuevo Reglamento en aras de lograr una mayor transparencia en todos los aspectos de las organizaciones que realizan tratamientos de datos personales. Este es el caso del Delegado de Protección de Datos que, para llevar a cabo las funciones de verificación del cumplimiento de la normativa en las organizaciones,
Con la finalidad de conocer mejor esta figura y adaptarnos adecuadamente al nuevo Reglamento, tanto desde el punto de vista de los documentos y contratos a tener en cuenta como desde la perspectiva organizativa y técnica, recomendamos contar con la ayuda especializada de una consultoría de protección de datos.