Esta persona, puede ser un empleado interno de la empresa o puede ser externo a la misma, pero debe estar en condiciones de poder desempeñar todas sus funciones y cometidos de manera independiente. El delegado de protección de datos participará de forma neutra en todas las cuestiones relativas a la protección de los datos personales.
Funciones del delegado de protección de datos
El artículo 39 del RGPD indica que tendrá, como mínimo, las siguientes funciones o tareas a desempeñar:
Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen de dicha tarea de todas las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, esto incluye la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías necesarias correspondientes.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad cumpliendo con el artículo 35.
Cooperar con la autoridad de control actuando como punto de contacto de dicha autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y solventar dudas, en su caso, sobre cualquier otro asunto.
Crear un registro de operaciones de tratamiento de datos personales siguiendo con el artículo 30 del RGPD, el cual dispone que cada responsable “llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”; indicando varios detalles, como el nombre del responsable, de la operación, el objeto de la operación, las categorías de los interesados, datos personales y receptores…
Evaluar los riesgos que pueden tener las operaciones sobre el tratamiento de datos personales tal y como cita el artículo 39.2 del RGPD, el delegado de protección de datos deberá: En cumplimiento de sus funciones, tener en cuenta adecuadamente el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, alcance, contexto y objeto del tratamiento.
Cabe mencionar que, los riesgos que son necesarios de evaluar no son solo riesgos de seguridad en un sentido reducido, sino también los riesgos para los derechos y libertades de las partes interesadas (y de otros individuos) que pueda plantear la operación de tratamiento.
Gestionar operaciones que pueden dar lugar a un alto riesgo y pueden suponer un impacto en la protección de datos. Esto hará que si la evaluación preliminar de riesgos indica que una operación concreta de tratamiento de datos personales plantea un alto riesgo, el responsable deberá llevar a cabo una Evaluación de impacto de protección de datos (EIPD) antes de continuar con la operación.
Gestionar violaciones de seguridad de datos personales para que, en caso de violación de la seguridad de los datos personales; el responsable del tratamiento la notificará a la autoridad competente de conformidad con el artículo 55 sin dilación indebida y; de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas; deberá ir acompañada de indicación de los motivos de la dilación.
Cabe mencionar que, El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del delegado de protección de datos en sus artículos 34 al 37.
Este ocupa su posición como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al delegado de protección de datos en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.