¿Se puede externalizar un DPO?

El Reglamento General de Protección de Datos introduce la figura del Delegado de Protección de Datos (DPD) en su artículo 37, una evolución del ya conocido responsable de seguridad que ya existe en la LOPD. La necesidad de incorporar a un DPD viene tasada por el propio Reglamento en los siguientes casos:

  • Cuando se traten de autoridades u organismos públicos
  • Cuando se realicen operaciones de tratamiento de datos a gran escala que requieran una observación habitual y sistemática de los afectados (por ejemplo, big data, monitorización, videovigilancia, etc.), siempre a gran escala.
  • Cuando se traten datos sensibles a gran escala (por ejemplo, hospitales).

Esta clasificación no es numerus clausus, ya que la propia Agencia de Protección de Datos provee un listado de casos en los que es más que aconsejable el nombramiento de un DPD, como universidades, entidades financieras, empresas de juegos online, etc. En este sentido las cadenas hoteleras, al realizar un tratamiento a gran escala de datos de los clientes, se presentan como candidatas a incorporar un DPD.

En esencia, las funciones del DPD son las de coordinar y gestionar el cumplimiento del RGPD, siendo la persona de contacto principal para las autoridades de control, clientes y encargados del tratamiento.

En efecto, el rol de Delegado de Protección de Datosde la empresa puede ser desempeñado por un profesional o empresa externa, mediante la formalización de un contrato de prestación de servicios. En este sentido se pronunció el Grupo de Trabajo (artículo 29) de Protección de Datos de la Comisión Europea.

En muchos casos resulta aconsejable que le figura del DPD la asuma un externo con experiencia y capacidad multidisciplinar, en especial jurídica y tecnológica. En este sentido puede conducir a una reducción de costes para la empresa, evitando la contratación de personal dedicado y formándolo en la materia.