El DELEGADO DE PROTECCIÓN DE DATOS, DPD, ó en inglés DATA PRIVACY OFFICER, DPD (Oficial de Protección de Datos), es una persona cuya función principal es garantizar que la organización procese los datos personales de las Personas (de la organización), Clientes, Proveedores o cualquier otra persona que sea el sujeto de los datos ó que se vea afectada, de conformidad con las exigencias de protección de datos aplicables.
En las instituciones y organismos de la UE, el Reglamento General de Protección de Datos en vigor, RGPD (Reglamento (UE) 2018/1725), obliga a todos y cada uno de ellos a nombrar un DPD / DPO, aunque sin embargo este requisito sólo es aplicable a determinadas organizaciones en los países de la UE, debiendo en unos casos designar un DPD / DPO y en otros no, desde el 25 de mayo de 2018.
El nombramiento del DPD / DPO debe por supuesto basarse en las cualidades personales y profesionales, pero se debe prestar especial atención al conocimiento experto de protección de datos y privacidad. También se recomienda una buena comprensión de la forma en que se desarrollan los procesos en la organización.
El DPD / DPO es una parte integral de la organización, lo que le coloca en una posición ideal para garantizar el cumplimiento. No obstante, el DPD / DPO debe poder realizar sus tareas de forma independiente. En las instituciones y organismos de la UE, existen toda una serie de garantías para asegurar esta independencia.
Las normas aplicables a las instituciones y organismos de la UE estipulan expresamente que el DPD / DPO no recibirá ninguna instrucción sobre el desempeño de sus funciones, ni debe haber conflicto de intereses entre las funciones de la persona como DPD / DPO y otras funciones distintas, si las hubiera. Para evitar conflictos, se recomienda que el DPD / DPO:
- No sea también a su vez responsable de las actividades de los procesos, como por ejemplo, si es Responsable de Relaciones Laborales.
- No debe ser una persona empleada de forma inconsistente, por ejemplo con un contrato temporal, becario o en prácticas.
- Se puede contratar externamente el servicio DPD / DPO, siempre y cuando esté Certificada la cualificación (preferiblemente) o acreditados los conocimientos y la experiencia adecuados en protección de datos y privacidad.
- No debe depender jerárquicamente de un Responsable directo de Área, Servicio o Departamento, sino reportar a la alta Dirección.
- Debe tener la responsabilidad de gestionar su propia actuación, como por ejemplo, la dedicación, planes y programas de privacidad, presupuesto, etc.
Las instituciones y organismos de la UE deben ofrecer las personas y los recursos de respaldo y ayuda al DPD / DPO en el desempeño de sus funciones, los cuales a su vez se pueden apoyar en otro DPD / DPO, que actúe como asistente o adjunto y con quien puedan asimismo colaborar los distintos Responsables y Encargados del tratamiento en cada sección de la organización.
El DPD / DPO debe tener autoridad para investigar y poder contar con la responsabilidad activa hacia su labor, como por ejemplo mediante el acceso inmediato a todos los datos personales procesados y operaciones de tratamiento de los mismos y con la debida diligencia por parte de los responsables entrevistados que proporcionen la información documentada en respuesta a sus demandas.
La organización debe establecer un plazo mínimo de vigencia del nombramiento del DPD / DPO y definir las estrictas condiciones justificativas para, en su caso, el despido en la posición de DPD / DPO. Por ejemplo, en las instituciones y organismos de la UE, el DPD / DPO se nombra por un período de entre 2 y 5 años, puede ser reelegido por un máximo de 10 años y puede ser destituido sólo con el consentimiento del SEPD, Supervisor Europeo de Protección de Datos (EDPS, European Data Protection Supervisor).
Véase: https://edps.europa.eu/
El DPD / DPO debe garantizar que se respeten las normas de protección de datos en cooperación con la autoridad de protección de datos (para las instituciones y organismos de la UE, esta es el SEPD), debiendo como DPD / DPO satisfacer los siguientes aspectos relevantes:
- Asegurarse de que los Responsables, Encargados e Interesados estén informados sobre sus derechos, obligaciones y responsabilidades de protección de datos, colaborar en el desarrollo de la cultura de la privacidad y crear conciencia sobre ello.
- Asesorar e informar y dar consejos y recomendaciones a las organizaciones sobre la interpretación y aplicación de las exigencias de protección de datos.
- Crear un registro de actividades de tratamiento en las organizaciones y notificar a las Autoridades de Control aquellos que presenten riesgos específicos.
- Asegurar la adecuación de la protección de datos en las organizaciones y ayudarles a estas en la responsabilidad activa y en las técnicas para garantizar el cumplimiento.
- Gestionar las consultas o quejas a solicitud de las organizaciones, la Autoridad de Control u otra (s) persona (s) o por su propia iniciativa.
- Cooperar con la Autoridad de Control respondiendo a sus peticiones sobre investigaciones, gestión de quejas, inspecciones, auditorías, etc.