Uno de los cambios más sustanciales que introduce el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, es la obligatoriedad de la figura del Delegado de Protección de Datos (DPO • Data Protection Officer), cuya misión es garantizar la correcta aplicación de la legislación en esta materia, así como controlar la adecuada gestión de los tratamientos de datos desarrollados en el seno de la organización en la que desempeñe dicho cargo.
¿CUÁNDO ES OBLIGATORIO NOMBRARLO?
Conforme el artículo 37 del Reglamento (UE) 2016/679, de 27 de abril (GDPR) y el artículo 34 de la Ley Orgánica 3/2018,de 5 de diciembre (LOPD GDD), el responsable o el encargado del tratamiento deberán designar un DPO siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público.
b) las actividades principales de la empresa consistan en operaciones de tratamiento que, en razón de su naturaleza,alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) las actividades principales de la empresa consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.d) se lleven a cabo alguna de las actividades recogidas en el art. 34.1 de la LOPD GDD.
Servicio de intervención como DPO
El DPO desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento realizadas por el cliente, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Las funciones del DPO son:
- Informar y asesorar al personal del cliente de las obligaciones que les incumben relativas a las normativas de privacidad.
- Supervisar:
- La asignación de responsabilidades entre el personal del cliente.
- La concienciación y formación del personal que participa en el tratamiento.
- El cumplimiento de lo dispuesto en las normativas de privacidad vigentes.
- Las políticas y auditorías en materia de protección de datos.
- Actuar como punto de contacto con la Autoridad de control y cooperar con ella.
- Actuar como punto de contacto con los interesados en lo que respecta al tratamiento de sus datos y al ejercicio de sus derechos.
- En el caso que el cliente realice una DPIA, el DPO tendrá las siguientes funciones:
- Asesorar acerca de la DPIA formando parte del equipo redactor.
- Realizar la consulta previa a la Autoridad de control y proceder a su seguimiento.
- Supervisar la aplicación de la DPIA.