Tal como establece el artículo 37 del Reglamento de Protección de Datos, existe la obligatoriedad de nombrar un DPO (Delegado de protección de datos en sus siglas en inglés) cuando:
-
- el tratamiento lo lleve a cabo una autoridad u organismo público
-
- las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala
- las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El Grupo de Trabajo del artículo 29 recomienda – en caso de duda de si una empresa entra dentro de esos supuestos – elaborar un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados, con lo que realizar ese análisis será fundamental.
Otra de las obligaciones que recoge el artículo 37 es publicar los datos de contacto del delegado de protección de datos y comunicar los mismos a la autoridad de control. En el caso de España, a la Agencia Española de Protección de Datos (AEPD).
En este sentido, la AEPD facilita un sistema de notificación electrónica (con Certificado electrónico) para esta comunicación, disponible en el siguiente enlace.
Esta notificación debe realizarse antes de que el Reglamento Europeo sea aplicable, es decir antes del 25 de Mayo.