El RGPD recoge en su artículo 37.1 los supuestos en que resulta obligatoria la designación de un DPO. Asimismo, no ha de olvidarse que el Proyecto 121/000013 de Ley Orgánica de Protección de Datos de Carácter personal (“Proyecto de Ley Orgánica”), cuyo contenido se encuentra disponible aquí, amplía el catálogo de supuestos en los que necesariamente habrá de nombrarse un DPO, entre los que se menciona, por ejemplo, a las entidades aseguradoras y reaseguradoras o los establecimientos financieros de crédito.
Por lo que respecta a su cualificación y a las funciones que éste deberá desempeñar, han de destacarse las siguientes notas identificadas ya sea en el RGPD o en el propio Proyecto de Ley Orgánica, y que han sido reiteradas por el Comité Europeo de Protección de Datos (anterior Grupo de Trabajo del Artículo 29) en sus Directrices sobre los delegados de protección de datos (cuyo contenido –en español– puede consultarse en el siguiente enlace):
- Debe nombrarse atendiendo a sus cualidades profesionales y ha de contar con conocimientos especializados en Derecho y, en particular, de la práctica en materia de protección de datos.
- El desempeño del cargo de DPO no exige su previa certificación, aunque tanto la Agencia Española de Protección de Datos (AEPD) como terceras entidades certificadas por la ENAC cuentan con su propio esquema de certificación.
- El DPO puede ser interno o externo a la organización.
- Puede asimismo nombrarse un único DPO para un grupo empresarial, siempre que éste sea fácilmente accesible desde todas y cada una de las entidades del grupo. En particular, el Comité Europeo de Protección de Datos recomienda que se encuentre ubicado en la Unión Europea.
- El DPO ha de desempeñar sus funciones con el suficiente grado de autonomía o independencia dentro de la organización. Esto es, no ha de recibir instrucciones en lo que respecta al desempeño de sus funciones.
- Entre sus principales funciones se encuentran las de: (i) informar y asesorar al responsable del tratamiento (o al encargado, en su caso) respecto de las obligaciones que establece el RGPD y demás normativa en materia de protección de datos que resulte de aplicación; (ii) supervisar el cumplimiento por parte de la organización de dicha normativa así como de las políticas que se establezcan al respecto; (iii) asesorar acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, y (iv) cooperar con las autoridades de control, siendo el punto de contacto entre éstas y la propia organización.
- La figura del DPO goza de la suficiente protección en el desempeño de sus funciones, no siendo personalmente responsable del incumplimiento de los requisitos de protección de datos.
Finalmente, ha de remarcarse que, de conformidad con el RGPD, el nombramiento del DPO deberá comunicarse a la AEPD, o autoridad de protección de datos autonómica en el ámbito de sus competencias.
Escrito por Patricia Suárez
