El nombramiento del Delegado de protección de datos (DPO por sus siglas en inglés) es una obligación de las empresas, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Antes de realizar tratamientos de datos cuando exista un alto riesgo para los derechos y libertades de las personas físicas las empresas deberán:
- Consultar a su Delegado de Protección de Datos (que estará dotado de inmunidad en sus funciones) y,
- Realizar una evaluación del impacto de dichas operaciones
La función principal de esta figura consiste en participar en todas las cuestiones relativas a la protección de datos personales:
A) de forma adecuada y
B) en tiempo oportuno
Existen estimaciones que elevan entre 50000 a 75000 Delegados en la Unión Europea.
Supuestos de empresas afectadas
Se trata de empresas que tengan como actividad principal de organización el tratamiento de los datos y las actividades principales de un responsable del tratamiento se refieren a «actividades principales» y debemos tener en cuenta que:
a) Son las operaciones clave necesarias para alcanzar las metas de la organización de que se trate y
b) No deben interpretarse en el sentido de excluir las actividades en las que el tratamiento de datos forma parte inseparable de la actividad del responsable del tratamiento o del procesador. Pensemos, por ejemplo, en un hospital cuya actividad principal es proporcionar atención médica y necesita procesar datos de salud con el fin de dar el debido cuidado médico a los pacientes. Por lo tanto, el procesamiento de estos datos médicos requerirá la figura del DPO.