Contacte
Totes les administracions públiques i els seus organismes públics vinculats o dependents, que actuïn com a responsables o encarregats del tractament de dades personals, han de designar obligatòriament un delegat de protecció de dades (DPD). Pot ser un treballador de l’administració pública (DPD intern) o una organització/empresa aliena a l’organització de l’administració pública (DPD extern).
La designació del DPD s’ha de comunicar a l’APDCAT a través del següent formulari d'alta.
L’obligació de les administracions públiques de tenir un delegat de protecció de dades no afecta les empreses municipals de dret privat. Això, sens perjudici de la seva obligatorietat en el cas que l’activitat de l’empresa comporti una observació habitual i sistemàtica de persones a gran escala, o que comporti el tractament a gran escala de categories especials de dades o relatives a condemnes i infraccions penals.
També és obligatori si l’empresa es dedica a alguna de les activitats previstes a l’article 34 de l’LOPDGDD.
Per a més informació sobre aquesta qüestió, podeu consultar el dictamen CNS 39/2019.
Sí. D’acord amb l’LOPDGDD, els col·legis professionals i els consells generals de col·legis han de designar obligatòriament un delegat de protecció de dades.
L’RGPD no estableix una titulació específica per al delegat de protecció de dades. No obstant això, cal que tingui coneixements especialitzats en dret, sobre la legislació i pràctiques nacionals i europees en matèria de protecció de dades i un profund coneixement de l’RGPD. Així mateix, cal que tingui pràctica en protecció de dades per poder identificar els riscos associats a les operacions del tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament.
Per tant, s’ha de determinar d’acord amb les operacions de tractament de dades que es duen a terme i de la protecció requerida per a les dades personals tractades.
En qualsevol cas, ha de tenir coneixements del sector de l’activitat de què es tracti, de l’organització, de les operacions de tractament que es duen a terme i dels sistemes d’informació.
El responsable del tractament pot contractar els serveis de delegat de protecció de dades oferts per un professional, organització o empresa aliena a la seva estructura organitzativa, sempre que s’acreditin les competències professionals a què fa referència l’RGPD i es garanteixi que no hi concorre cap conflicte d’interès.
La designació d’aquest delegat de protecció de dades extern exigeix formalitzar un contracte d’encàrrec del tractament, per tal que pugui accedir a la informació personal que necessiti per exercir les seves funcions i de la qual sigui responsable l’Administració contractant.
Un cop designat el delegat de protecció de dades, cal publicar les seves dades de contacte perquè les persones interessades puguin contactar-hi de manera fàcil i directa. També cal comunicar aquesta designació a l’APDCAT, a través del següent formulari.
Si voleu disposar de més informació sobre aquesta qüestió, podeu consultar el dictamen CNS 31/2018.
Les diputacions, en exercici de les seves competències d’assistència i cooperació tècnica als municipis, poden prestar el servei de delegat de protecció de dades a entitats locals. Un ajuntament pot designar un òrgan o una persona al servei de la diputació com a delegat de protecció de dades, sempre que no hi hagi cap conflicte d’interès.
Respecte d’aquestes qüestions, podeu consultar el dictamen CNS 23/2018.
El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament, o bé exercir les seves funcions en el marc d’un contracte de serveis. Pot desenvolupar altres tasques i funcions diferents de les que estrictament corresponen al delegat de protecció de dades.
Ara bé, per garantir la independència a l’hora de exercir les seves funcions, el responsable o l’encarregat del tractament han d’evitar que l’assumpció d’aquestes altres tasques i funcions pugui donar lloc a un conflicte d’interessos. Consegüentment, no es pot designar com a delegat de protecció de dades una persona que, alhora, tingui tasques que impliquin participar en el procés de presa de decisions sobre els tractaments o en la seva implementació, en aspectes tan cabdals com la implementació de les mesures de seguretat, com és el cas del responsable de seguretat de la informació.