El Reglament general de protecció de dades (RGPD) que és de plena aplicació des del 25 de maig de 2018, ha regulat la figura del delegat de protecció de dades (DPD). El DPD no és una figura del tot nova a la Unió Europea, atès que ja existia en altres països, com ara al Regne Unit o Alemanya i a les institucions europees, però sí que és nova en el nostre ordenament jurídic.
El DPD es configura com una peça clau del RGPD, que encaixa perfectament amb els principis de responsabilitat proactiva (complir les obligacions de la manera més adequada, segons les circumstàncies de cada entitat i cada tractament de dades, i estar en disposició de provar-ho) i amb l’enfocament en el risc (adoptar les mesures atenent al risc concret del tractament realitzat per als drets i les llibertats de les persones). De fet, podem dir que el DPD és una mesura organitzativa que ajuda a complir el conjunt d’obligacions regulades a la normativa de protecció de dades, que a més es pot configurar com un avantatge competitiu.
L’article 37 del RGPD regula els supòsits en què cal nomenar un DPD. El nomenament no és obligatori per a tots els responsables i encarregats del tractament. Però sí que ho és en el cas de les autoritats i dels organismes públics. En aquest àmbit, el Grup de Treball de l’article 29, en les directrius sobre els delegats de protecció de dades, indica que pot ser recomanable nomenar un DPD en el cas d’entitats privades que presten serveis públics o exerceixen funcions públiques, ja que les persones interessades es troben en una posició molt similar a la que es produeix quan una autoritat o un organisme públic tracta les seves dades.
La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD) ha ampliat, en l'article 34, els casos en què cal nomenar un DPD.
En el cas de les autoritats i dels organismes públics, es pot designar un únic delegat de protecció de dades per a diverses entitats (pot ser intern o extern) i, en atenció al principi de l’enfocament en el risc, cal tenir-ne en compte l'estructura organitzativa i la dimensió.
Un cop nomenat el DPD, s’han de publicar les seves dades de contacte i se n’ha de comunicar el nomenament a l’autoritat de control en un termini de 10 dies.
A la seu electrònica de l’Autoritat Catalana de Protecció de Dades trobareu la informació i el formulari per fer-ho.
El DPD ha de ser nomenat atenent a les seves qualitats professionals i capacitats personals, en particular, als coneixements especialitzats en dret i a la pràctica de protecció de dades, a més de la capacitat per desenvolupar les seves funcions. A més, el nivell de coneixements i les habilitats cal valorar-los atenent a la sensibilitat, la complexitat i la quantitat de dades personals tractades.
En qualsevol cas, en el moment de nomenar el DPD cal analitzar i ponderar les situacions que puguin generar un conflicte d’interessos. Aquest és un aspecte substancial i directament vinculat al requisit inexcusable de la seva posició dins de l’organització: la independència. El responsable i l’encarregat del tractament han de garantir que no rep instruccions directes o indirectes de com orientar les seves opinions. Per garantir aquesta independència, la LOPDGDD, en l'article 36.2, estableix que no pot ser remogut ni sancionat per desenvolupar les seves funcions tret que s’incorri en dol o negligència greu.
A més, el DPD ha de participar en totes les qüestions vinculades a la normativa de protecció de dades. L’entitat que l’ha nomenat ha de garantir que ho pot fer adequadament i en el moment oportú, la qual cosa comporta que ha de participar com més aviat millor en els processos de decisió de tot allò que afecti el tractament de dades. Només així podrà ajudar de manera efectiva en el compliment de la norma i garantir que s’adopten les mesures de protecció de dades des del disseny i per defecte. Per aconseguir que la seva participació sigui efectiva també cal que sigui considerat com un interlocutor vàlid per tota l’organització, i per tant es requereix que l’alta direcció estigui plenament compromesa en la seva actuació i li faciliti tots els recursos humans i materials necessaris per desenvolupar les seves funcions.
Justament, en relació amb les seves funcions, cal dir que la funció principal que ha de complir el DPD és assessorar i supervisar el correcte compliment de la normativa de protecció de dades; entre d’altres, tenir identificades les activitats de tractament, analitzar-ne i comprovar-ne la conformitat amb el RGPD, informar, assessorar i emetre recomanacions i participar en les avaluacions d’impacte sobre la protecció de dades.
En l’exercici de les seves funcions ha d’assumir un enfocament en el risc de les activitats de tractament, i per tant ha de prioritzar les activitats a realitzar atenent a la naturalesa, l'abast, el context i les finalitats de les activitats de tractament.
Una altra de les funcions del DPD és actuar com a punt de contacte entre el responsable o l'encarregat del tractament i l’autoritat de control competent.
La LOPDGDD ha reforçat la posició del DPD quan estableix que si una persona presenta una reclamació davant de l’autoritat de control, sense haver passat primer pel DPD, l’autoritat li pot derivar la reclamació perquè sigui el DPD qui respongui.
En definitiva, el DPD es configura com una eina clau per assolir els objectius del RGPD, però exigeix un compromís real i efectiu de les organitzacions en la garantia dels drets de les persones afectades.