El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con la figura del Delegado de Protección de Datos (DPD), regulada por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El informe se centra en la necesidad de cumplir con los requisitos formales y materiales establecidos por la normativa aplicable, especialmente en lo relativo a la profesionalización e independencia del DPD.
El RGPD y la LOPDGDD establecen un marco jurídico que exige a las organizaciones públicas y privadas que traten datos personales adoptar un modelo de responsabilidad activa. Este modelo implica una valoración previa del riesgo asociado al tratamiento de datos y la adopción de medidas adecuadas para mitigar dicho riesgo. En este contexto, el DPD juega un papel fundamental al informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos.
El informe destaca que la designación del DPD debe cumplir con ciertos requisitos de capacitación y recursos. Según el artículo 37.5 del RGPD, el DPD debe ser designado atendiendo a sus cualidades profesionales y conocimientos especializados en materia de protección de datos. Además, el artículo 38.2 del RGPD establece que el responsable del tratamiento debe proporcionar al DPD los recursos necesarios para el desempeño de sus funciones, incluyendo acceso a los datos personales y a las operaciones de tratamiento.
La AEPD ha desarrollado diversos documentos y herramientas para facilitar la comprensión y aplicación de la normativa sobre protección de datos, incluyendo guías prácticas y esquemas de certificación para los DPD. Estos recursos están disponibles en el canal web de la AEPD y buscan promover la sensibilización y el cumplimiento proactivo de las obligaciones en materia de protección de datos.
El informe también aborda la independencia del DPD, subrayando que el delegado no debe recibir instrucciones en el desempeño de sus funciones y debe tener acceso directo al más alto nivel jerárquico de la organización. Además, se destaca que el DPD no puede ser removido ni sancionado por el responsable o el encargado del tratamiento, salvo en casos de dolo o negligencia grave.
En cuanto al régimen sancionador, la LOPDGDD identifica como infracciones graves el incumplimiento de la obligación de designar un DPD cuando sea exigible, así como no posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos. Las sanciones por estas infracciones pueden ser significativas, como se ha visto en resoluciones sancionadoras dictadas por la AEPD.
En conclusión, el informe subraya la importancia de la figura del DPD en el nuevo modelo de responsabilidad activa establecido por el RGPD y la LOPDGDD. La designación del DPD debe cumplir con los requisitos de capacitación y recursos establecidos por la normativa, y debe garantizarse su independencia para asegurar el cumplimiento efectivo de las obligaciones en materia de protección de datos. Las organizaciones deben ser conscientes de las posibles sanciones por incumplimiento y velar por facilitar el ejercicio de las funciones del DPD.