Consultoría para la Designación del DPO (Delegado de Protección de Datos)

¿Quién es el Delegado de Protección de Datos?

El DPO (Data Protection Officer) es el delegado de protección de datos de una organización, pública o privada. La definición de este rol, elemento fundacional del principio de responsabilidad, se debe al Reglamento de la UE, que contiene indicaciones y detalles específicos sobre los requisitos y deberes de esta figura.

El responsable de la protección de datos personales es una figura identificada por el Reglamento Europeo n. 2016/679, reglamento general de protección de datos (conocido como GDPR, del inglés “General Data Protection Regulation”), que constituye la norma fundamental sobre privacidad y protección de datos personales para todos los Estados miembros de la Unión Europea.

¿Qué hace el DPO?
El gerente actúa como consultor, desempeñando una importante función de apoyo y estímulo a la organización. En concreto, su cometido es asistir al responsable del tratamiento en la realización de las actividades y procesos que impliquen el tratamiento de datos personales, por lo que debe velar por que se salvaguarden y respeten las normas sobre privacidad y protección de datos.

¿Cuándo es obligatorio el nombramiento del DPO?
En algunos casos, el DPD es una figura que hay que identificar, pero de gran importancia para empresas y organismos públicos que tratan grandes cantidades de datos.

En particular, se debe identificar un DPD en los siguientes casos, tal como lo exige el art. 37 del RGPD:

cuando el tratamiento sea realizado por autoridades públicas o por un organismo público, excepto las autoridades judiciales cuando ejerzan sus funciones jurisdiccionales;
si las actividades y funciones profesionales principales del responsable del tratamiento consisten en tratamientos que, por su naturaleza, alcance y/o fines, requieren un seguimiento periódico y sistemático de los interesados ​​a gran escala, incluidos todos los tratamientos realizados con fines comerciales por parte de grandes empresas, incluso en línea, o por cualquier otro medio;
si las actividades principales del responsable del tratamiento consisten en el tratamiento, a gran escala, de determinadas categorías de datos personales a que se refiere el artículo 9 (como, por ejemplo, actividades de tratamiento de datos sindicales o biométricos, entidades de crédito y empresas de seguros) o datos relativos a condenas penales y delitos a que se refiere el artículo 10.
¿Quién nombra al delegado de protección de datos?
Es el responsable del tratamiento quien designa al responsable de protección de datos, seleccionando una figura profesional conocedora de la legislación en materia de datos personales y con las competencias necesarias en el ámbito jurídico, en el ámbito de la ciberseguridad y la evaluación de riesgos, para que es capaz de cumplir con su función según lo establecido por la ley.

El administrador designado debe garantizar el cumplimiento corporativo de la ley en constante cambio, garantizando el flujo de información a este respecto al Controlador de datos. Una vez designado el DPD, es necesario comunicar su nombre a la autoridad de control, el Garante de Protección de Datos Personales.