El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.

El Delegado de Protección de Datos tiene las siguientes funciones:

• Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
• Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
• Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
• Cooperar con las “autoridades de control” (Agencias de Protección de Datos)
• Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

¿Representa a los ciudadanos?

Los titulares, afectados o interesados pueden dirigirse al Delegado de Protección de Datos para todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones.

¿Quién está obligado a tener un DPO?

Están obligados a nombrar un Delegado de Protección de Datos:

• Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
• Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
• Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

En cambio, no están obligados a tener delegado de Protección de Datos, pero es conveniente:

• Empresas (normalmente, PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

¿El DPO tiene que formar parte de la plantilla? El Delegado de Protección de Datos puede formar parte de la plantilla de una Administración Pública, una Empresa o una Entidad privada, o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. En todo caso, debe garantizarse su independencia: no puede recibir instrucciones, ni puede ser destituido ni sancionado por lo que respecta al desempeño de sus funciones