En el contexto de la proactividad que el RGPD establece para las empresas es donde cobra importancia la figura del delegado de protección de datos (DPO). Es quien se encargará de informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
Tal y como marca el reglamento, el DPO no es personalmente responsable en caso de incumplimiento del RGPD. El reglamento especifica que la figura que está obligada a garantizar que el RGPD se cumple es el responsable o en su defecto, el encargado de tratamiento. La función del DPO es supervisar que se cumpla de forma correcta, pero no significa que sea responsable en cualquier caso de inobservancia:
“Es el responsable de protección de datos el que está obligado a aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente reglamento”
Art. 24, apartado 1.
Si el responsable o encargado del tratamiento toman decisiones que son incompatibles con el RGPD y los consejos del DPO, éste tiene la posibilidad de expresar sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.
¿El DPO debe realidad el análisis de riesgo?
El RGPD establece que el delegado desempeñe sus funciones «prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento» (Art. 39, apartado 2.). No es que la función del DPO sea llevar a cabo el análisis de riesgos, ya que esa función depende del responsable o encargado del tratamiento, si no que el DPO deberá ayudar y asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoría de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.
¿Cuál es la función del delegado en la realización de la evaluación de impacto?
El responsable del tratamiento es quien tiene la obligación de realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento de datos.
No obstante, el delegado de protección de datos (DPO) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento «recabará el asesoramiento» del DPO cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPO la obligación de «ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35».
Se recomienda que el responsable del tratamiento busque el asesoramiento del DPO en las siguientes cuestiones, por ejemplo:
- Si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos.
- La metodología debe seguirse al llevar a cabo una evaluación de impacto.
- Si debe realizarse la evaluación de impacto en la propia organización o de forma externa.
- Qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.
¿Qué papel juega un delegado de protección de datos en el mantenimiento del registro de actividades?
En virtud del artículo 30, apartados 1 y 2, del RGPD es el responsable o el encargado del tratamiento, y no el delegado de protección de datos (DPD), quien está obligado a llevar «un registro de las actividades de tratamiento efectuadas bajo su responsabilidad» o a mantener «un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable».
En la práctica, puede llegar a ser frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización.
Por lo tanto, nada impide que el responsable o el encargado del tratamiento asignen al DPO la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro, como medida efectiva de rendición de cuentas, debe considerarse una de las herramientas que permitan al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.
En resumen, la obligación de realizar y cumplir con los aspectos que marca el RGPD no recae sobre el delegado si no el responsable y/o encargado de tratamiento. No obstante, el DPO debe aconsejar y servir de apoyo en la ejecución de las diferentes medidas que tome la empresa para asegurar un cumplimiento efectivo del reglamento.