1040 - Definición y elementos clave del Data Protection Officer o DPO

Data Protection Officer es el nombre común por el que se conoce el delegado de protección de datos, y, en el sistema español la AEPD, se define como uno de los elementos claves del RGPD, que opera como garante en el cumplimiento de la normativa de protección de datos, con sus funciones propias y sin sustituir las de las autoridades de control. 

El artículo 37 del RGPD vino a regular la figura del DPD y de este precepto debemos destacar lo siguiente:

• Su designación será obligatoria en determinados casos (art. 37 del RGPD y art. 34 de la LOPDGDD). Fuera de esos casos su designación queda al arbitrio, bien del responsable, bien del encargado del tratamiento, como una medida más de responsabilidad activa.
• Debe tratarse de un profesional con conocimientos en derecho y con práctica en materia de protección de datos. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.

Cabe citar el artículo 35 de la LOPDGDD: «El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos».

• Es necesario también, ante la naturaleza de los servicios que puede prestar el DPD, que tenga ciertos conocimientos sobre otras materias fuera de las estrictamente de carácter jurídico, como pueden ser en materia de tecnología, u otra a la que se dedique la organización donde va a desempeñar sus tareas.
• No tienen por qué formar parte de la estructura interna de la empresa encargada del tratamiento: puede formar parte de la plantilla del responsable o encargado o puede desempeñar sus funciones como DPD en el marco de un contrato de servicio. 
• Debe ser una figura independiente y autónoma: actuará como interlocutor entre la entidad responsable y el resto de los elementos que existan en su órbita operativa (encargados, interesados o la propia AEPD).
• Debe tener a su disposición, por parte del responsable o encargado, todos los recursos suficientes y necesarios para desarrollar su actividad.
• Un grupo empresarial puede nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento, esto es, que las tareas del DPD sean punto de contacto con respecto a los interesados y la autoridad de control, así como desde el interior de la organización (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—). 
• Si el responsable o el encargado del tratamiento es una autoridad u organismo público, se puede designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
• Se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—).