El Reglamento General de Protección de Datos, que será de aplicación a partir del 25 de mayo de 2018, introduce la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés) que vendría a ser el “Compliance Officer” de la protección de datos.

Sus funciones, entre otras, serán las informar y asesorar a la organización de sus obligaciones en el tratamiento de datos de carácter personal, supervisar el cumplimiento de lo dispuesto en la normativa de protección de datos y en los protocolos internos establecidos a este respecto, la concienciación y formación,  la realización de las correspondientes auditorías correspondientes, y asesorar en la realización de las evaluaciones de impacto.

El DPO puede ser tanto interno como externo pero debe contar necesariamente con formación y conocimientos y demostrar reconocida competencia en la materia (lo que podrá realizarse a través de mecanismos de certificación).

Esta figura del DPO es voluntaria salvo para determinadas organizaciones, entre ellas, las que realicen observación sistemática y habitual de interesados a gran escala o traten categorías especiales de datos a gran escala.

La inconcreción de esta disposición ha suscitado muchas dudas sobre qué organizaciones debían contar en la práctica con un DPO. Finalmente, el anteproyecto de la nueva LOPD viene a aclarar este extremo estableciendo en su artículo 35 las entidades que obligatoriamente tienen que tenerlo, entre las que cabe destacar:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas reguladas y las Universidades públicas y privadas.
  • Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios.
  • Los establecimientos financieros de crédito, las entidades aseguradoras y reaseguradoras y las empresas de servicios de inversión.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.