El DPO es la persona encargada de informar y asesorar al Responsable (RT) o Encargado (ET) del tratamiento y al personal autorizado para el tratamiento, de las obligaciones que les afectan en virtud del Reglamento (GDPR) y de otras disposiciones de protección de datos.
El RT y ET tendrán la obligación de designar un DPO cuando su actividad principal contemple tratamientos a gran escala de:
También existe la obligación de designar un DPO cuando el tratamiento lo realice un Organismo público.
Un grupo de empresas podrá designar un único DPO para todas las empresas del grupo siempre que sea accesible desde cada uno de los establecimientos del grupo. Un Organismo público podrá designar un único DPO para varias entidades públicas siempre que se tenga en cuenta su estructura organizativa y su tamaño.
Vista la obligación de designar DPO que establece el GDPR, la figura del DPO solo será necesaria en las empresas que realicen tratamientos de datos personales a gran escala en su actividad principal. La mayoría de empresas no realizan este tipo de tratamiento, por lo que podrán prescindir del DPO. Para asegurarnos ello, vamos a ver el significado de cada concepto:
A lo que se dedica la empresa, su actividad económica. Por ejemplo, en una fábrica de calcetines la actividad principal es su fabricación y venta; en una empresa de trabajo temporal (ETT) su actividad principal es elaborar perfiles de personas para proporcionarles un empleo. Es muy importante discernir si la actividad principal se basa, o no, en el tratamiento de datos personales.
Operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.
Cuando se realiza un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de sus datos.
Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
Datos relativos a condenas e infracciones penales o medidas de seguridad afines, llevadas a cabo bajo la supervisión de autoridades públicas.
Visto esto y excluyendo los organismos públicos, las únicas empresas obligadas a designar un DPO son las que su actividad principal se basa en el tratamiento de datos personales a gran escala. Vamos a poner unos ejemplos:
Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales L 119/18 ES Diario Oficial de la Unión Europea 4.5.2016 como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.