El Delegado de Protección de Datos (DPD) ayuda al responsable o al encargado del tratamiento a cumplir las normas de protección de datos. El artículo 37 del RGPD ordena el nombramiento de un DPD en cinco casos específicos.
| Requisitos que exige un Delegado de Protección de Datos | |
| Requisito 1 | “El tratamiento es llevado a cabo por una autoridad u organismo público, excepto los tribunales que actúan en su capacidad judicial”, artículo 37.1 del RGPD |
| Requisito 2 | “Las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que, en virtud de su naturaleza, su alcance y/o sus fines, requieren un seguimiento regular y sistemático de los interesados a gran escala”, artículo 37.1 del RGPD |
| Requisito 3 | “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9”, artículo 37.1 del RGPD |
| Requisito 4 | “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de […] datos personales relativos a las condenas e infracciones penales a que se refiere el artículo 10”, artículo 37.1 del RGPD |
| Requisito 5 | “[E]l responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento podrán designar o, cuando así lo exija el Derecho de la Unión o de los Estados miembros, deberán designar un delegado de protección de datos”, artículo 37.4 del RGPD |
Los requisitos 1 y 3 son especialmente relevantes para este documento. El requisito 1 es pertinente porque no es infrecuente que las instituciones de investigación sean organismos públicos, como en el caso de los hospitales públicos y las universidades públicas. Cuando se da esta situación, el artículo 37.3 del RGPD establece que “podrá designarse un único delegado de protección de datos para varias de estas autoridades u organismos”. Por ejemplo, los hospitales públicos podrían no haber designado un DPD, pero podrían confiar en el DPD para prestar su servicio. El requisito 3 es pertinente, ya que menciona el tratamiento de categorías especiales de datos personales -como los datos biométricos- como uno de los tres criterios para la designación obligatoria de un DPD. Los otros dos se dan cuando el tratamiento de datos personales se produce en el contexto de una actividad principal y se realiza a gran escala. Los términos “actividades principales” y “a gran escala” no se definen explícitamente en el RGPD. Sin embargo, el Grupo de Trabajo del Artículo 29 proporciona orientación interpretativa en sus Directrices sobre los Delegados de Protección de Datos. En consecuencia, las actividades principales son “operaciones clave para lograr los objetivos del responsable o del encargado del tratamiento”[1], por lo que se excluyen las actividades de apoyo o auxiliares. En el contexto de la investigación e innovación en materia de TIC, esto podría entenderse como cualquier actividad directamente relacionada con la ejecución de la investigación en materia de TIC y la consecución de la innovación en materia de TIC, como en el caso del desarrollo de un sistema biométrico. En cuanto al criterio de gran escala, el Grupo de Trabajo del Artículo 29 lo relaciona con “el número de sujetos de datos afectados -ya sea como número específico o como proporción de la población pertinente-, el volumen de datos y/o la gama de diferentes elementos de datos que se tratan, la duración, o la permanencia, de la actividad de tratamiento de datos, [y] la extensión geográfica de la actividad de tratamiento”[2].
Si es necesario nombrar a un DPD, debe hacerse lo antes posible. De hecho, el artículo 39.1(a) del RGPD establece que una de las responsabilidades del DPD es informar y asesorar al responsable del tratamiento durante todas las etapas de la investigación. Por lo tanto, obtener la asistencia de un DPD lo antes posible garantiza que los investigadores reciban una orientación adecuada sobre cómo abordar los requisitos de cumplimiento.
Los contactos del DPD deben publicarse y ponerse a disposición de los interesados.
- Grupo de Trabajo del Artículo 29, ‘Guidelineson Data ProtectionOfficers (“DPOs”)’, April 2017, 20. ↑
- Grupo de Trabajo del Artículo 29, 21. ↑