El delegat de protecció de dades

El nou marc legal en protecció de dades de caràcter personal que imposa el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 (RGPD) es basa en el principi de rendició de comptes (accountability), això és aquell conjunt de mesures jurídiques, tecnològiques i organitzatives que suposen que el responsable i l’encarregat del tractament estan obligats no només a garantir el compliment amb l’RGPD sinó a poder demostrar que el tractament de dades personals es duu a terme d’acord amb l’RGPD, això és l’anomenada responsabilitat proactiva.

I és aquí on el Delegat de Protecció de Dades (DPD) es configura com un dels elements clau de la rendició de comptes efectiva, figura que com veurem és obligatòria per a determinats responsables i encarregats.

El DPD, a més de portar a terme avaluacions d’impacte en la protecció de dades (EIPD o PIA), actua d’intermediari entre l’organització que el nomena, l’autoritat o agència de protecció de dades i l’interessat, això és la persona física les dades de la qual tracta l’organització, a més d’altres funcions com informar i assessorar el responsable, dur a terme la supervisió dels seus tractaments i formar el personal.

L’RGPD exigeix que es designi un DPD de manera obligatòria en tres casos, que són (1) quan el tractament el porta a terme una autoritat o organisme públics, (2) les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, a raó de la seua naturalesa, abast i/o finalitats, requereixin una observació habitual i sistemàtica d’interessats a gran escala, o (3) les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals.

I malgrat que l’RGPD no especifica la qualificació professional del Delegat de Protecció de Dades, apunta que es designarà en funció de la seua qualificació professional i, en especial, el seu coneixement expert de la legislació i les pràctiques de protecció de dades, DPD que podrà ser intern o extern, persona física o persona jurídica, però això sí, especialitzada en protecció de dades de caràcter personal.

El DPD ha d’estar en condicions d’exercir les seues funcions de manera independent, assenyalant l’RGPD que el responsable i l’encarregat del tractament hauran de garantir que s’involucri, de manera adequada i oportuna, en totes les qüestions que tinguin relació amb la protecció de les dades personals.

L’organització ha de donar suport al seu Delegat de Protecció de Dades proporcionant els recursos necessaris perquè porti a terme les seues tasques i accedeixi a les dades personals i les operacions de tractament, així com per mantenir el seu coneixement expert, i és clau que els responsables i encarregats del tractament estan obligats a garantir que el DPD no rebi cap instrucció relativa a l’exercici de les seues tasques.

I, finalment, ha de nomenar-se a tot estirar el 25 de maig de 2018, dia d’aplicació de l’RGPD.