El Delegado de Protecci\u00f3n de Datos (DPD) ayuda al responsable o al encargado del tratamiento a cumplir las normas de protecci\u00f3n de datos. El art\u00edculo 37 del RGPD ordena el nombramiento de un DPD en cinco casos espec\u00edficos.<\/p>\n
Requisitos que exige un Delegado de Protecci\u00f3n de Datos<\/strong><\/td>\n<\/tr>\n| Requisito 1<\/td>\n | “El tratamiento es llevado a cabo por una autoridad u organismo p\u00fablico, excepto los tribunales que act\u00faan en su capacidad judicial”, art\u00edculo 37.1 del RGPD<\/td>\n<\/tr>\n | Requisito 2<\/td>\n | “Las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que, en virtud de su naturaleza, su alcance y\/o sus fines, requieren un seguimiento regular y sistem\u00e1tico de los interesados a gran escala”, art\u00edculo 37.1 del RGPD<\/td>\n<\/tr>\n | Requisito 3<\/td>\n | “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categor\u00edas especiales de datos con arreglo al art\u00edculo 9”, art\u00edculo 37.1 del RGPD<\/td>\n<\/tr>\n | Requisito 4<\/td>\n | “Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de […] datos personales relativos a las condenas e infracciones penales a que se refiere el art\u00edculo 10”, art\u00edculo 37.1 del RGPD<\/td>\n<\/tr>\n | Requisito 5<\/td>\n | “[E]l responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categor\u00edas de responsables o encargados del tratamiento podr\u00e1n designar o, cuando as\u00ed lo exija el Derecho de la Uni\u00f3n o de los Estados miembros, deber\u00e1n designar un delegado de protecci\u00f3n de datos”, art\u00edculo 37.4 del RGPD<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n | Los requisitos 1 y 3 son especialmente relevantes para este documento. El requisito 1 es pertinente porque no es infrecuente que las instituciones de investigaci\u00f3n sean organismos p\u00fablicos, como en el caso de los hospitales p\u00fablicos y las universidades p\u00fablicas. Cuando se da esta situaci\u00f3n, el art\u00edculo 37.3 del RGPD establece que “podr\u00e1 designarse un \u00fanico delegado de protecci\u00f3n de datos para varias de estas autoridades u organismos”. Por ejemplo, los hospitales p\u00fablicos podr\u00edan no haber designado un DPD, pero podr\u00edan confiar en el DPD para prestar su servicio. El requisito 3 es pertinente, ya que menciona el tratamiento de categor\u00edas especiales de datos personales -como los datos biom\u00e9tricos- como uno de los tres criterios para la designaci\u00f3n <\/em>obligatoria de un DPD. Los otros dos se dan cuando el tratamiento de datos personales se produce en el contexto de una actividad principal y se realiza a gran escala. Los t\u00e9rminos “actividades principales” y “a gran escala” no se definen expl\u00edcitamente en el RGPD. Sin embargo, el Grupo de Trabajo del Art\u00edculo 29 proporciona orientaci\u00f3n interpretativa en sus Directrices sobre los Delegados de Protecci\u00f3n de Datos. En consecuencia, las actividades principales son “operaciones clave para lograr los objetivos del responsable o del encargado del tratamiento”[1]<\/a><\/sup>, por lo que se excluyen las actividades de apoyo o auxiliares. En el contexto de la investigaci\u00f3n e innovaci\u00f3n en materia de TIC, esto podr\u00eda entenderse como cualquier actividad directamente relacionada con la ejecuci\u00f3n de la investigaci\u00f3n en materia de TIC y la consecuci\u00f3n de la innovaci\u00f3n en materia de TIC, como en el caso del desarrollo de un sistema biom\u00e9trico. En cuanto al criterio de <\/em>gran escala, el Grupo de Trabajo del Art\u00edculo 29 lo relaciona con “el n\u00famero de sujetos de datos afectados -ya sea como n\u00famero espec\u00edfico o como proporci\u00f3n de la poblaci\u00f3n pertinente-, el volumen de datos y\/o la gama de diferentes elementos de datos que se tratan, la duraci\u00f3n, o la permanencia, de la actividad de tratamiento de datos, [y] la extensi\u00f3n geogr\u00e1fica de la actividad de tratamiento”[2]<\/a><\/sup>.<\/p>\n Si es necesario nombrar a un DPD, debe hacerse lo antes posible. De hecho, el art\u00edculo 39.1(a) del RGPD establece que una de las responsabilidades del DPD es informar y asesorar al responsable del tratamiento durante todas las etapas de la investigaci\u00f3n. Por lo tanto, obtener la asistencia de un DPD lo antes posible garantiza que los investigadores reciban una orientaci\u00f3n adecuada sobre c\u00f3mo abordar los requisitos de cumplimiento.<\/p>\n Los contactos del DPD deben publicarse y ponerse a disposici\u00f3n de los interesados.<\/p>\n <\/p>\n <\/p>\n |