La Agencia Española de Protección de Datos publica el sistema de notificación electrónica para comunicar la designación de Delegados de Protección de Datos.

El L-24473701 (RGPD), publicado el 4 de mayo de 2016, entró en vigor ese mismo mes y será de aplicación a partir del 25 de mayo de 2018. Entre sus muchas novedades, en el artículo 37 RGPD se encuentra regulada la obligación de designar un delegado de Protección de Datos (en adelante DPD). En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.

El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.

Este sistema de notificación electrónica -que permite realizar la comunicación de los datos del Delegado de Protección de Datos (tanto si se trata de una persona física como de una entidad pública o privada actuando como Delegado) así como los datos de todas aquellas entidades para las que este haya sido designado- no se circunscribe únicamente a las Administraciones Públicas y las entidades privadas obligadas. Las empresas que no estén obligadas por las previsiones del Reglamento a designar un DPD y que quieran implantar esta figura en el sus organizaciones como apoyo al cumplimiento pueden utilizar este formulario con el fin de comunicarlo.

Según el art. 37, RGPD, el responsable o el encargado del tratamiento publicará los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Fuente: AEPD

¿Cuándo es necesario un delegado de protección de datos?

Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

• a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
• b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
• c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (art. 9, RGPD) y de datos relativos a condenas e infracciones penales (art. 10, RGPD)

En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

¿Quién puede ser DPD?

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el art. 39, RGPD

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¿Qué funciones ha de cumplir un delegado de protección de datos?

El delegado de protección de datos tendrá como mínimo las siguientes funciones (art. 39, RGPD):

• a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el art. 35, RGPD
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

¿La obligación se extiende a las administraciones públicas?

En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.

Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública la persona nombrada como DPD debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización. A estos efectos, ya existe regulación normativa en relación a la creación de la figura de delegada o delegado de Protección de Datos (ejmp: L-25772294).