L'RGPD regula de manera detallada el delegat de protecció de dades en els articles 37-39 i estableix una sèrie de supòsits de designació obligatòria per part dels responsables i els encarregats:
- El tractament el dugui a terme una autoritat o organisme públic, llevat dels tribunals que actuïn en exercici de la seva funció judicial.
- Que les activitats principals del responsable o de l'encarregat consisteixin en operacions de tractament que, pel que fa a la seva naturalesa, abast i/o fins, requereixin una observació habitual i sistemàtica d'interessats a gran escala, o
- Que les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades personals de conformitat amb l'article 9 i de dades relatives a condemnes i infraccions penals a què es refereix l'article 10.
En aquest sentit, el Grup de l'Article 29, a través del document «Directrius sobre els delegats de la protecció de dades» ha precisat el següent sobre el supòsit d'obligatorietat en les administracions públiques:
L'RGPD no defineix què es considera com a «autoritat o organisme públic», per la qual cosa aquesta noció ha de determinar-se de conformitat amb la legislació de cada país, que, tot i que s'entén que hi estan incloses les autoritats nacionals, regionals i locals, també hi poden ser inclosos altres organismes regits pel dret públic. Respecte a les organitzacions privades que hi participen a través de les diferents modalitats de contractació de la gestió dels serveis públics, per bé que no seria obligatòria la designació del delegat de protecció de dades, es recomana com a bona pràctica nomenar-lo i que la seva activitat cobreixi no només els tractaments relacionats amb aquesta gestió pública, sinó també els que no hi estiguin.
L'apartat 4 de l'article 37 de l'RGPD obre la possibilitat que els països de la Unió, a través de la seva normativa específica, puguin establir altres supòsits en què calgui nomenar un delegat de protecció de dades. En aquest sentit, l'article 34 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), l'ha previst per als supòsits següents:
a) Els col·legis professionals i els seus consells generals.
b) Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l'educació, així com les universitats públiques i privades.
c) Les entitats que exploten xarxes i presten serveis de comunicacions electròniques de conformitat amb el que disposa la seva legislació específica, quan tracten habitualment i sistemàtica dades personals a gran escala.
d) Els prestadors de serveis de la societat de la informació quan elaboren a gran escala perfils dels usuaris del servei.
e) Les entitats incloses en l'article 1 de la Llei 10/2014, de 26 de juny, d'ordenació, supervisió i solvència d'entitats de crèdit.
f) Els establiments financers de crèdit.
g) Les entitats asseguradores i reasseguradores.
h) Les empreses de serveis d'inversió, regulades per la legislació del mercat de valors.
i) Els distribuïdors i comercialitzadors d'energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
j) Les entitats responsables de fitxers comuns per avaluar la solvència patrimonial i crèdit o dels fitxers comuns per gestionar i prevenir el frau, incloent-hi els responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
k) Les entitats que desenvolupen activitats de publicitat i prospecció comercial, incloent-hi les d'investigació comercial i de mercats, quan duen a terme tractaments basats en les preferències dels afectats o fan activitats que impliquen elaborar-ne perfils.
l) Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.
Se n'exceptuen els professionals de la salut que, tot i que estan legalment obligats al manteniment de les històries clíniques dels pacients, exerceixen la seva activitat a títol individual.
m) Les entitats que tenen com un dels seus objectes l'emissió d'informes comercials que puguin referir-se a persones físiques.
n) Els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, de conformitat amb la normativa de regulació del joc.
o) Les empreses de seguretat privada.
p) Les federacions esportives quan tracten dades de menors d'edat.
El paràgraf segon de la norma fins i tot ha previst la possibilitat de la designació voluntària.
D'altra banda, l'RGPD, en l'article 37.5 i el considerant 97, determina que el delegat de protecció de dades ha de ser una persona amb coneixements especialitzats de dret i pràctica en matèria de protecció de dades. Aquests coneixements són exigibles en relació amb els tractaments que es facin, així com les mesures que hagin d'adoptar-se per garantir un tractament adequat de les dades personals objecte d'aquests tractaments.
El Grup de l'Article 29 ha introduït les precisions següents al respecte:
Coneixement
Encara que l'RGPD no el defineix, el nivell de coneixement ha d'estar en consonància amb el tipus, la quantitat i la complexitat de dades que tracta una organització.
Qualificació professional
Tampoc no està precisada en l'RGPD. No obstant això, el delegat de protecció de dades ha de tenir coneixement de les lleis nacionals i europees i del Reglament esmentat. En l'àmbit privat, ha de conèixer el sector empresarial. En l'àmbit públic, ha de tenir un coneixement sòlid de les normes i els procediments administratius.
Capacitat
Per desenvolupar les seves tasques cal tenir en compte tant les seves qualitats personals i els seus coneixements com el lloc que ocupa en l'organització. Entre les de caràcter personal, s'inclourien la integritat i un nivell elevat d'ètica professional.
Si ens referim a l'àmbit de les administracions públiques, la provisió dels llocs de treball de delegats de protecció de dades requereix la selecció d'empleats públics que reuneixen aquests requisits i, en especial, els coneixements especialitzats en dret i la pràctica en protecció de dades que el Reglament exigeix.
La qualificació d'un delegat de protecció de dades pot acreditar-se mitjançant mecanismes voluntaris de certificació que tindran particularment en compte l'obtenció d'una titulació universitària que acrediti coneixements especialitzats en el dret i la pràctica en matèria de protecció de dades. L'Agència Espanyola de Protecció de Dades ha impulsat un esquema de certificació de delegats de protecció (ESQUEMA AEPD-DPD). És un esquema voluntari; en cap cas no pot exigir-se com a requisit ni en una oposició, ni en una licitació de serveis.