Abans de respondre a la primera qüestió plantejada, és convenient conèixer algunes diferències entre un Delegat de Protecció de Dades (DPD o DPO en les sigles en anglès, que significa: Data Protection Officer) i un advocat. Doncs bé, la diferència rau que el DPD exerceix un rol independent, i ofereix una visió multidisciplinària més enllà del mer assessorament jurídic. A continuació, en els apartats següents, respondrem a la primera pregunta plantejada, coneixent amb més precisió aquells supòsits en què s'ha de designar un DPD, les funcions que realitza aquest, així com conèixer les relacions del DPD amb els diferents agents, tant dins com fora de la vostra organització.
Comencem. El DPD és una nova figura introduïda per la normativa de protecció de dades per garantir-ne el compliment en una entitat. Pot ser tant una persona física com jurídica, sempre que coincideixi en un perfil d'expert en protecció de dades i, a més, tingui coneixements especialitzats en Dret, encara que per això no cal que sigui un advocat.
A continuació, després d'aquesta primera aproximació, ara cal saber en quins supòsits opera, i per tant saber si cal la seva designació. Doncs bé, segons la normativa serà obligatòria la designació del DPD, quan: (i) el tractament el dugui a terme un organisme públic; (ii) quan les operacions del tractament impliquin tractaments de grans quantitats de dades personals “ gran escala ”, o bé, (iii) aquestes operacions consisteixin en el tractament “a gran escala” de categories especials de dades personals (per exemple, de salut, dades genètiques o biomètriques).
Tenint en compte això, si es donen un dels tres supòsits, llavors serà obligatòria aquesta designació, sense importar cap altre aspecte com la mida de la companyia o el seu sector d'activitat, entre d'altres. Així, sense endinsar-nos en l'aspecte de la designació, cal afegir que aquesta haurà de publicar les dades del contacte del DPD, a fi d'establir clarament el punt de contacte entre l'entitat i l'interessat; i, a més, el nomenament, la renovació i el cessament del DPD s'hauran de comunicar a l'autoritat de control competent (ex. www.aepd.es ).
Així les coses, estiguem obligats o no, si volem nomenar un DPD, aquest, com a mínim, haurà de realitzar les següents funcions al si de la seva organització, vegem: (i) informar i assessorar de les obligacions que dimanen de la normativa de protecció de dades, amb una visió multidisciplinària més enllà dels aspectes merament jurídics (ex. privadesa des del disseny i per defecte); (ii) supervisar el compliment de forma independent (ex. auditor intern), sensibilització i formació del personal en protecció de dades; (iii) assessorament sobre l'avaluació d'impacte en matèria de protecció de dades personals; (iv) cooperació amb l'autoritat de control competent; i, (v) servir com a punt de contacte amb aquesta autoritat de control.
A resums, la nostra recomanació és que s'informi bé d'aquesta nova figura , la conegui, i encara més important, que a l'hora d'escollir el DPD, l'empresari, ja sigui en qualitat de responsable com d'encarregat del tractament, s'asseguri dels coneixements d'aquest en protecció de dades; per una senzilla raó, ja que una mala praxi del DPD podria comportar riscos d'incompliment, així com crear obstacles que impedeixin o retardin l'activitat de la companyia, i fins i tot la innovació de l'organització. Així doncs, segons l' article 83.4 del RGPD , aquest incompliment pot derivar en infraccions considerades greus i prescriuen transcorreguts dos anys; implicant sancions de fins a 10 milions d'euros, o bé quanties equivalents al 2% del volum del negoci total anual de la companyia.
Si teniu dubtes o considereu que necessiteu un delegat de protecció de dades, estarem enormement encantats en ajudar-vos en aquest sentit.