En nuestra última entrada a este respecto solo llegamos a arañar la capa más externa del tejido del universo DPD: cuándo nombrar un DPD y cómo notificarlo a la AEPD. En esta entrada nos vamos a adentrar un poco más en cuestiones que pueden plantear mayores problemas. En concreto, cuáles son sus funciones, sus clases e incompatibilidades.

¡Recordad! Los requisitos que a continuación se mencionan aplican también cuando se nombra un DPD de forma voluntaria.

Funciones:

Aunando el RGPD, la LOPDGDD, las FAQs de la AEPD y las directrices del viejo Grupo de Trabajo del Artículo 29; encontramos, entre otras, las siguientes funciones:

(A) Hacer de interlocutor ante la AEPD o autoridades locales de protección de datos y cooperar con las mismas.

(B) Informar y asesorar al responsable / encargado del tratamiento y a los empleados que se ocupen del tratamiento en materia de protección de datos. Esto incluye recabar información para determinar las actividades del tratamiento, inspeccionar o participar en los procedimientos relacionados con esta materia, emitir recomendaciones, la concienciación y formación del personal y las auditorías correspondientes.

Si observa una vulneración relevante en materia de protección de datos, debe documentarla y comunicarla inmediatamente a los órganos de administración y dirección de la compañía.

El DPD designado por un encargado también supervisará las actividades del mismo cuando actúe como responsable por derecho propio (e.g. RR HH, TI, logística).

El DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

(C) Es el guardián del registro de actividades del tratamiento. Debe ser informado de cualquier adición, modificación o exclusión en su contenido. Si bien el obligado último en llevar dicho registro es el responsable / encargado, nada impide que se le asigne al DPD la tarea de mantener el registro de actividades.

(D) Asesorar en la realización de evaluaciones de impacto en materia de protección de datos y supervisar su aplicación de acuerdo al art. 35 RGPD. Sin perjuicio de ello, la responsabilidad de realizar una evaluación de impacto corresponde al responsable.

Se recomienda que se busque el asesoramiento del DPD en las siguientes cuestiones (según las directrices antes señaladas):

    • si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
    • qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
    • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
    • qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados;
    • si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar) son conformes con el RGPD”.

Si el responsable no está de acuerdo con el asesoramiento ofrecido por el DPD, la documentación de la evaluación de impacto debe justificar específicamente por escrito por qué no se ha tenido en cuenta el consejo.

(E) Colaboración en el análisis de riesgos. El DPD debe priorizar aquellas cuestiones que presenten mayores riesgos para la protección de datos (obviamente sin ignorar el resto). Como la AEPD indica, [e]ste enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos”. El responsable puede disponer que el DPD lleve a cabo dicho análisis (si bien la responsabilidad última recae sobre el responsable del tratamiento).

(F) Bajo la LOPDGDD, tienen determinadas funciones en el ámbito de la investigación en la salud pública.

(G) Ser un punto de contacto de los interesados e intervenir en caso de reclamación.

(H) Otras funciones y cometidos siempre y cuando no comprometan su independencia o le suponga un conflicto de interés para llevar a cabo sus tareas.

Clases:

*Si el DPD es único para un grupo de empresas, el factor relevante para su nombramiento es su accesibilidad: tanto de cara a los interesados y la autoridad de control [para lo cual conocer su(s) idioma(s) es significativo], como internamente en la organización. Sus datos de contacto deben estar disponibles y el DPD debe estar en condiciones de comunicarse eficazmente con los interesados, de cooperar con las autoridades y cumplir con sus funciones en las organizaciones relevantes. Su disponibilidad (física o en línea) es fundamental.

**Es decir, en el marco de un contrato de servicios. Cuando sea una persona jurídica, es importante que aquellas personas que ejerzan de DPD estén libre de conflictos y cumplan los requisitos exigidos por el RGPD / LOPDGDD. En estos casos, es importante designar a una sola persona (sin perjuicio de que se ocupe un equipo del servicio) como persona de contacto y “a cargo” de la tarea.

Rasgos principales e incompatibilidades:

El DPD debe ser independiente y no verse afectado por conflictos de interés. Esto implica: