Los DPD desempeñan un papel crucial a la hora de diseñar y ejecutar las actividades de tratamiento de datos de forma compatible con el RGPD. Son otra de las garantías que el RGPD ordena en determinadas ocasiones y, en general, se recomienda designar dicha figura. El Grupo de Trabajo del Artículo 29 consideró que “es una piedra angular de la responsabilidad proactiva y que la designación de un DPD puede facilitar el cumplimiento”.^[1]

El artículo 37(1) del RGPD^[2] indica cuándo los responsables y los encargados del tratamiento deben designar un DPD. En el caso de los dispositivos y sistemas geoespaciales, lo más probable es que la designación de un DPD sea necesaria, ya que la mayoría de ellos procesan datos personales de tal manera que pueden requerir un seguimiento periódico de los interesados a gran escala, o pueden ser llevados a cabo por las autoridades públicas.

Sería útil que la normativa de cada Estado miembro sobre la necesidad de DPD ampliara la lista de actividades que exigen la designación de un DPD o, al menos, proporcionara ejemplos claros que pudieran ayudar a interpretar qué actividades de tratamiento de datos realizadas por los responsables y los encargados del tratamiento exigen dicha designación.

Si hay que nombrar a un DPD, por cualquiera de las razones mencionadas anteriormente, es necesario contar con su participación desde el principio del proyecto, como la redacción de una EIPD (exigido por la letra c) del apartado 1 del artículo 39), así como cualquier otra cuestión relacionada con la protección de datos dentro de la entidad (como prescribe la letra a) del apartado 1 del artículo 39). Esto puede incluir la revisión de un posible encargado, como se describe en el punto anterior.

Lista de control: DPDs  Los responsables del tratamiento comprobaron si la institución ya había designado un DPD.  De no ser así, comprobaron con el departamento jurídico si las actividades de tratamiento de datos previstas requieren la designación de un DPD, ya sea consultando las interpretaciones autorizadas europeas, la normativa local, las interpretaciones autorizadas locales y la jurisprudencia nacional y europea pertinente.  Los responsables del tratamiento exigieron la designación de un DPD si era necesario, y su participación en el proceso de desarrollo de la herramienta si era necesario.  Como norma general, el DPD debe estar al tanto de cada paso que se dé para que pueda intervenir si lo considera pertinente.

 

 

1. Grupo de Trabajo del Artículo 29 (2017) Directrices sobre los delegados de protección de datos (DPD) Adoptadas el 13 de diciembre de 2016, Revisadas por última vez y adoptadas el 5 de abril de 2017, p.4. Comisión Europea, Bruselas. Disponible en: https://ec.europa.eu/newsroom/article29/items/612048/en ↑
2. Artículo 37. Designación del delegado de protección de datos. 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. ↑