El Artículo 37 del Reglamento General de Protección de Datos (RGPD) indica que cualquier responsable o encargado deberá designar un Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés) en las siguientes situaciones:
- El tratamiento se lleva a cabo por una autoridad o entidad pública, salvo los tribunales actuando en su capacidad judicial;
- Las actividades principales del responsable o encargado consisten en operaciones de tratamiento que, en virtud de su naturaleza, su alcance y/o sus fines, requieren un seguimiento regular y sistemático de individuos a gran escala; o
- Las actividades principales del responsable o encargado consisten en el tratamiento a gran escala de categorías especiales de datos de acuerdo con el Artículo 9 RGPD o de datos personales relacionados con condenas y delitos penales a que se refiere el Artículo 10 RGPD.
Además de lo anterior, los diferentes Estados miembros de la UE pueden ampliar las situaciones en las que se debe designar obligatoriamente un DPO, como ocurre en Alemania o España.
En cualquier otro caso, también es posible designar un DPO de forma voluntaria.
El RGPD permite designar al mismo DPO para todo un grupo de empresas (Artículo 37.2 RGPD).
¿Cuándo tenemos que notificar al DPO a la autoridad supervisora?
Cuando hablamos de registrar o notificar al DPO, nos referimos a comunicar los datos de contacto del DPO a la autoridad supervisora de protección de datos. Esto es un requisito según el Artículo 37.7 RGPD, que establece que cualquier responsable o encargado deberá publicar los datos de contacto del DPO y comunicarlos a la autoridad supervisora.
Sin embargo, el Artículo 37.7 RGPD no distingue entre la designación obligatoria o voluntaria de DPOs para esta notificación, por lo que cualquier designación de un DPO, ya sea de forma voluntaria u obligatoria, debe ser comunicada a la autoridad de protección de datos.
Debe tenerse en cuenta que en algunos países, como es el caso de España y Polonia, hay un plazo para notificar al DPO a la autoridad (por ejemplo, 10 días desde la designación en España, 14 días desde la designación en Polonia).
¿Dónde tenemos que notificar al DPO?
Esta es una pregunta especialmente problemática para las organizaciones internacionales que tienen presencia y/o ofrecen servicios en varios países de la UE, y pueden encontrar dificultades para determinar a qué autoridades locales de protección de datos deben notificar al DPO. Desafortunadamente, tanto el RGPD como las directrices existentes de las autoridades sobre el papel del DPO no son útiles al no responder directamente a esta pregunta, por lo que tenemos que llegar a una conclusión en base a la interpretación de varios Artículos del RGPD. Para responder a esta pregunta, sería conveniente analizar las circunstancias de cada caso y contar con una opinión legal adaptada al caso concreto.
En mi opinión personal, es necesario realizar una evaluación sobre qué legislación de protección de datos de la UE se aplicaría de acuerdo con los criterios de alcance territorial del Artículo 3 RGPD, que tiene en cuenta los siguientes elementos:
- Tener un establecimiento en el Estado miembro;
- Ofrecer bienes y servicios a personas físicas en el Estado miembro;
- Monitorear el comportamiento de personas físicas en el Estado miembro.
En todos esos países de la UE donde el «test de territorialidad» es positivo, sería conveniente considerar notificar al DPO.
En el caso de que su empresa tenga un establecimiento principal en la UE, podría beneficiarse del mecanismo One Stop Shop y solo notificar al DPO a la autoridad supervisora principal (es decir, la autoridad supervisora del territorio donde se encuentra este establecimiento principal de la UE). Sin embargo, de acuerdo con algunas autoridades de la UE (como la DPC), en este caso puede ser necesario notificar al DPO también a las autoridades supervisoras de otros Estados miembros siempre y cuando la designación del DPO sea obligatoria como resultado de las actividades del responsable o encargado en esos países (en este sentido, téngase especial cuidado con Alemania debido al criterio local de este país para nombrar DPOs que es mucho más estricto que la regla general del RGPD).
¿Cómo notificar al DPO en la UE/EEE?
Esto varía en cada Estado miembro. Cada autoridad supervisora ha implementado su propio mecanismo para ello. En algunos países, les basta con un correo electrónico del responsable/encargado indicando los datos de contacto del DPO. En la mayoría de los otros países, las autoridades han implementado formularios en línea para este propósito. Deben tenerse en cuenta algunas particularidades locales como las siguientes:
- Algunas autoridades supervisoras requerirán prueba de la designación del DPO (como una carta o resolución firmada por los administradores o la dirección ejecutiva de la empresa que refleje el nombramiento).
- En algunos países, como España, Polonia o Grecia, se requiere un certificado digital o credenciales especiales para acceder al formulario de notificación.
- Algunas autoridades pueden requerir un poder de representación para asegurar que la persona que presenta la notificación tenga el poder de actuar en nombre del responsable/encargado, como ocurre en mi experiencia en Polonia, Italia o República Checa.
La información sobre cómo proceder con la notificación está disponible en los sitios web de las autoridades supervisoras, donde podrá encontrar cómo se presenta el proceso en cada territorio. Consulte una lista de todas las autoridades supervisoras (incluyendo enlaces a sus respectivos sitios web) aquí: https://edpb.europa.eu/about-edpb/about-edpb/members_en
¿Cómo notificar al DPO en España?
Para proceder con la notificación del DPO en España, debe accederse a este enlace: Comunicación del Delegado de Protección de Datos
Una vez ahí, se accedería al formulario utilizando el certificado digital y se deben incluir los datos de la entidad que actúe como responsable/encargado y los datos del DPO. Se debe adjuntar una prueba del nombramiento (el formulario permite adjuntar documentos) y se debe realizar la notificación durante los diez días siguientes a la designación (por lo que ojo con la fecha incluida en la carta de nombramiento).
¿Tenemos que notificar al DPO en el Reino Unido después del Brexit?
Desde que el Reino Unido se separó definitivamente de la Unión Europea después del Brexit, el RGPD de la UE ya no se aplica al Reino Unido. Sin embargo, por el momento, las leyes principales aplicables en el Reino Unido son el RGPD del Reino Unido (que es básicamente similar al RGPD de la UE) y la Ley de Protección de Datos del Reino Unido de 2018 (Data Protection Act 2018). Según estas leyes, es necesario designar un DPO en los mismos casos explicados al comienzo de este artículo. Además, cualquier designación de un DPO, ya sea obligatoria o voluntaria, debe ser notificada a la autoridad de protección de datos del Reino Unido, que es la Oficina del Comisionado de la Información de Reino Unido (ICO por sus siglas en inglés).
Para notificar el DPO a la ICO se debe acceder al siguiente enlace: https://ico.org.uk/for-organisations/data-protection-fee/your-data-protection-officer-is/
Nota: Tenga en cuenta que en el momento de escribir este artículo (diciembre de 2022) el Reino Unido está en proceso de actualizar su legislación de protección de datos, por lo que el DPO puede desaparecer en el Reino Unido en un futuro cercano y ser reemplazado por un rol diferente (aún por confirmar).
