Aquesta persona, pot ser un empleat intern de l’empresa o pot ser extern a aquesta, però ha d’estar en condicions de poder exercir totes les seves funcions i comeses de manera independent. El delegat de protecció de dades participarà de manera neutra en totes les qüestions relatives a la protecció de les dades personals.
Funcions del delegat de protecció de dades
L’article 39 del RGPD indica que tindrà, com a mínim, les següents funcions o tasques a exercir:
Informar i assessorar el responsable o a l’encarregat del tractament i als empleats que s’ocupin d’aquesta tasca de totes les obligacions que els incumbeixen en virtut del present Reglament i d’altres disposicions de protecció de dades de la Unió o dels Estats membres.
Supervisar el compliment del que es disposa en el present Reglament, d’altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, això inclou l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories necessàries corresponents.
Oferir l’assessorament que se li sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació de conformitat complint amb l’article 35.
Cooperar amb l’autoritat de control actuant com a punt de contacte d’aquesta autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia a què es refereix l’article 36 del RGPD, i solucionar dubtes, en el seu cas, sobre qualsevol altre assumpte.
Crear un registre d’operacions de tractament de dades personals seguint amb l’article 30 del RGPD, el qual disposa que cada responsable “portarà un registre de les activitats de tractament efectuades sota la seva responsabilitat”; indicant diversos detalls, com el nom del responsable, de l’operació, l’objecte de l’operació, les categories dels interessats, dades personals i receptors…
Evaluar els riscos que poden tenir les operacions sobre el tractament de dades personals tal com cita l’article 39.2 del RGPD, el delegat de protecció de dades deurà: En compliment de les seves funcions, tenir en compte adequadament el risc associat a les operacions de tractament, tenint en compte la naturalesa, abast, context i objecte del tractament.
Cal esmentar que, els riscos que són necessaris d’avaluar no són sol riscos de seguretat en un sentit reduït, sinó també els riscos per als drets i llibertats de les parts interessades (i d’altres individus) que pugui plantejar l’operació de tractament.
Gestionar operacions que poden donar lloc a un alt risc i poden suposar un impacte en la protecció de dades. Això farà que si l’avaluació preliminar de riscos indica que una operació concreta de tractament de dades personals planteja un alt risc, el responsable haurà de dur a terme una Avaluació d’impacte de protecció de dades (EIPD) abans de continuar amb l’operació.
Gestionar violacions de seguretat de dades personals perquè, en cas de violació de la seguretat de les dades personals; el responsable del tractament la notificarà a l’autoritat competent de conformitat amb l’article 55 sense dilació indeguda i; de ser possible, a tot tardar 72 hores després que hagi tingut constància d’ella, tret que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques. Si la notificació a l’autoritat de control no té lloc en el termini de 72 hores; haurà d’anar acompanyada d’indicació dels motius de la dilació.
Cal esmentar que, El Projecte de Llei orgànica de Protecció de Dades, actualment en tramitació, contempla la figura del delegat de protecció de dades en els seus articles 34 al 37.
Aquest ocupa la seva posició com a interlocutor del responsable davant l’Agència Espanyola de Protecció de Dades i la rellevància que li atorga la llei al delegat de protecció de dades en l’organització interna de l’empresa conforme a la redacció de l’article 36.2 del Projecte de Llei.