Los Delegados de Protección de Datos a examen

A principios de marzo, la Agencia Española de Protección de Datos (“AEPD”) informó que participaba en la iniciativa del Comité Europeo de Protección de Datos (“EDPB”, por sus siglas en inglés) orientada a analizar la designación y situación de los Delegados de Protección de Datos (“DPD”) en entidades públicas y privadas.

El objetivo de esta acción es, en palabras de la AEPD, “evaluar si la situación de los DPD en sus organizaciones se ajusta a lo requerido por el Reglamento General de Protección de Datos”.
 
A continuación, analizamos algunas de las cuestiones que surgen con esta iniciativa:
 

• ¿Por qué el EDPB, junto con otras autoridades europeas, está interesado en realizar esta acción? Creemos que las autoridades participantes, tienen la sospecha de que muchas organizaciones han designado DPD sin tener en cuenta y sin cumplir los distintos requisitos que el RGPD establece respecto de la formación, nivel de experiencia, posición, independencia y funciones requeridas. En definitiva, para darle valor a esta figura tan esencial en el cumplimiento de la normativa de privacidad de los responsables o encargados del tratamiento.
• ¿Qué implica esta acción? Que algunos DPD de distintos sectores de actividad, tales como, educación, entidades bancarias y financieras, sanidad, sector energético, seguridad, servicios de telecomunicaciones, solvencia patrimonial y crédito, y actividades relacionadas con los juegos de azar y apuestas, van a empezar a recibir un cuestionario de la AEPD que incluye preguntas relacionadas, entre otras, con la designación, conocimiento y experiencia de los DPD, sus tareas y recursos disponibles o su papel y posición que desarrollan en sus respectivas organizaciones.
• ¿Es obligatorio responder al cuestionario? A pesar de no estar establecido claramente por la AEPD o por el EDPB, se debe considerar que contestar a este cuestionario es obligatorio, en especial, si aplicamos el artículo 39.1.d del RPGD, el cual, establece como funciones del DPD su cooperación con las autoridades de control. Empezaríamos con mal pie si se ignora a la primera notificación que se recibe de la AEPD.  

 
En el equipo de Tech & Data ya estamos analizando y asesorando en la respuesta a estas peticiones, así que, no dude en contactarnos para poder analizar y responder la encuesta de la forma más ajustada posible a la realidad de su organización. Y, aunque no haya recibido la petición formal por parte de la AEPD, podemos ayudarle pasando la encuesta a modo de checklist de verificación de la figura de DPD, para comprobar si cumple con lo establecido por el RGPD y poder recomendar medidas correctoras o aspectos de mejora. 

Agradecemos a la abogada Sonia Gracia, quien fue la autora de este artículo.