[vc_row][vc_column][vc_column_text]Tras la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (RGPD) tanto las empresas privadas como las autoridades públicas han comenzado a articular la figura del Delegado de Protección de Datos (DPO).
Dicha figura que se encuentra regulada en los artículos 37 a 39 del mencionado Reglamento y será obligatoria para las administraciones públicas, excepto para los tribunales que actúen en ejercicio de su función judicial. Al respecto, la articulación del DPO presenta ciertas dudas, tanto por la propia estructura descentralizada de la Administración, como por la diversidad de tratamientos de datos llevados a cabo dentro de una misma Consejería, Dirección General, etc.
En estos casos, el RGPD no establece una definición y configuración precisa del DPO. Por tanto, concebimos que puede articularse a través de un órgano colegiado, un comité independiente o “Comité Delegado de Protección de Datos”. De esta forma, en lo que respecta a su estructura, el Comité permitiría abarcar las distintas posibilidades de cada administración y distribuir las funciones con relación a la propia estructura organizativa de la administración de que se tratase. Podrá, por ejemplo, estar formado por un Presidente, un Secretario, así como por Coordinadores LOPD y Responsables Funcionales.
Entre las funciones que pueden ser atribuidas al órgano colegiado, y sin perjuicio de aquellas que sean establecidas por la Agencia Española de Protección de Datos, se determinan las siguientes:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben;
b) supervisar el cumplimiento de la normativa establecida en LOPD, así como de las políticas existentes, incluida la asignación de responsabilidades, la concienciación y formación del personal que realice tratamientos de datos, y el cumplimiento de las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
d) cooperar con la autoridad de control;
e) actuar como interlocutor con la autoridad de control en las cuestiones y/o consultas que sean necesarias.
f) Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado;
g) Articular la gestión y tramitación de las solicitudes realizadas por los interesados, y ejercicio de sus derechos;
h) Prestar la debida observancia a los riesgos asociados al tratamiento.
En cuanto a las capacidades y cualificaciones necesarias de los integrantes del Comité, el RGPD establece que “el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones [….]” Por cuanto será necesario que los nombramientos se ajusten a cargos en los que se acrediten tales capacidades.
Asimismo, el RGPD determina la obligación de confidencialidad en el desempeño de las funciones realizadas por el DPO. De forma que, en caso de articular dicha figura a través de un Comité, recomendamos que se deje constancia de su deber de secreto y confidencialidad, así como de las funciones y responsabilidades de cada uno de los integrantes mediante la firma de un documento de nombramiento elaborado ad hoc. Dichos documentos de nombramiento deberán estar debidamente custodiados, para su puesta a disposición ante la Agencia Española de Protección de Datos en caso de ser solicitado.[/vc_column_text][/vc_column][/vc_row]