​Es pot externalitzar la figura del Delegat de Protecció de Dades?

El Reglament General de Protecció de Dades introdueix la figura del Delegat de Protecció de Dades (DPD) en el seu article 37, una evolució del ja conegut responsable de seguretat que ja existeix en la LOPD.

La necessitat d'incorporar a un DPD ve taxada pel propi Reglament en els següents casos:

  • Quan es tractin d'autoritats o organismes públics
  • Quan es realitzin operacions de tractament de dades a gran escala que requereixin una observació habitual i sistemàtica dels afectats (per exemple, big data, monitoratge, videovigilancia, etc.), sempre a gran escala.
  • Quan es tractin dades sensibles a gran escala (per exemple, hospitals).

Aquesta classificació no és numerus clausus, ja que la pròpia Agència de Protecció de Dades proveeix un llistat de casos en els quals és més que aconsellable el nomenament d'un DPD, com a universitats, entitats financeres, empreses de jocs online, etc. En aquest sentit les cadenes hoteleres, en realitzar un tractament a gran escala de dades dels clients, es presenten com a candidates a incorporar un DPD.

En essència, les funcions del DPD són les de coordinar i gestionar el compliment del RGPD, sent la persona de contacte principal per a les autoritats de control, clients i encarregats del tractament.

En efecte, el rol de Delegat de Protecció de Dades de l'empresa pot ser exercit per un professional o empresa externa, mitjançant la formalització d'un contracte de prestació de serveis. En aquest sentit es va pronunciar el Grup de Treball (article 29) de Protecció de Dades de la Comissió Europea.

En molts casos resulta aconsellable que li figura del DPD l'assumeixi un extern amb experiència i capacitat multidisciplinària, especialment jurídica i tecnològica. En aquest sentit pot conduir a una reducció de costos per a l'empresa, evitant la contractació de personal dedicat i formant-ho en la matèria.