¿Se exigirá a todas las empresas que nombren a un delegado de protección de datos?
No. Se trata de un error común considerar que con base en el RGPD todas las compañías deberán nombrar un Delegado de Protección de Datos (figura más conocida por su acrónimo en inglés “DPO”).
La designación, por parte del responsable y el encargado del tratamiento, de un DPO únicamente será obligatoria y, por lo tanto, necesaria en los tres supuestos específicos descritos:
(i) Si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
(ii) Si las actividades principales del responsable o del encargado (es decir, las actividades principales u operaciones clave necesarias para lograr sus objetivos) consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, por ejemplo, empresas que realizan perfiles o realizan observación del comportamiento de dichos interesados; y
(iii) Si las actividades principales consisten en el tratamiento a gran escala de categorías “sensibles” de datos personales (que incluyen datos de salud, datos biométricos, datos que revelan el origen étnico o creencias religiosas e información relacionada con condenas penales). Además, las leyes de los Estados miembros pueden exigir el nombramiento obligatorio de un DPO en otros supuestos, como ya es el caso, por ejemplo, de Alemania.
En casos distintos de los mencionados anteriormente, el nombramiento voluntario de un DPO es meramente recomendado y por lo tanto no tiene carácter obligatorio. Asimismo, cuando una organización designa a un DPO de forma voluntaria, se aplicarán los requisitos establecidos en el RGPD para la designación, cargo y tareas de la misma forma que si la designación hubiera sido obligatoria. Esto debe tenerse en cuenta a efectos de decidir si designar un DPO de forma voluntaria.
