Com hem vist en l'apartat anterior, l'RGPD determina l'obligatorietat de designar un delegat de protecció de dades en l'àmbit de les administracions públiques. Amb caràcter general, es pot assenyalar, per exemple, que d'acord amb l'RGPD és possible designar un únic delegat per a un ministeri, una conselleria o un ajuntament. Alhora, no sembla aconsellable que aquest únic delegat actuï en grans unitats o òrgans amb entitat i tasques clarament diferenciades, per molt que orgànicament puguin dependre d'un departament ministerial, una conselleria o un ajuntament.
D'altra banda, i donades les funcions del delegat de protecció de dades, dins l'estructura de l'organització se l'ha d'adscriure a òrgans o unitats amb competències i funcions de caràcter horitzontal. Així mateix, el nivell del lloc de treball ha de ser l'adequat per poder relacionar-se amb la direcció de l'òrgan o organisme en què desenvolupi les seves funcions.
L'RGPD preveu que el delegat pot desenvolupar la seva activitat a temps complet o parcial i que pot formar part de la plantilla del responsable o de l'encarregat del tractament o desenvolupar les seves funcions en el marc d'un contracte de serveis.
En òrgans, organismes o ens grans en què existeixi un únic delegat l'habitual serà que desenvolupi les seves funcions a temps complet. Fins i tot, és possible que el Delegat formalment nomenat estigui fet costat per una unitat específicament dedicada a la protecció de dades.
En entitats més petites és possible que el delegat compagini les seves funcions amb altres. Si és el cas, cal tenir en compte la necessitat d'evitar conflictes d'interessos entre les diverses ocupacions.
A més, cal tenir en compte que el delegat actua com a assessor i supervisor intern, per la qual cosa aquest lloc no pot ser ocupat per persones que alhora facin tasques que impliquin decisions sobre l'existència de tractaments de dades o sobre la manera en què seran tractades les dades (p. ex.: responsables de TIC, o responsables de seguretat de la informació).
L'RGPD també ofereix la possibilitat que es contractin externament les funcions de delegat. Aquesta opció pot ser utilitzada en determinats casos, com podria ser el de municipis petits que es beneficien d'un servei que ofereix una diputació provincial o una comunitat autònoma o fins i tot que on aquest servei no existeixi puguin optar pels serveis d'entitats privades especialitzades.
D'altra banda, és necessari analitzar quin és la posició del delegat de protecció de dades en el marc de l'organització on presta serveis.
En aquest sentit, l'RGPD es refereix, en l'article 38, a l'encaix del delegat en el marc de l'entitat en què hagi estat designat:
- Participar de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals;
- Rebre el suport del responsable o encarregat, que hauran de facilitar-li els recursos necessaris per complir les seves funcions;
- No rebre cap instrucció pel que fa a l'acompliment d'aquestes funcions i no ser destituït ni sancionat pel responsable o l'encarregat per causes relacionades amb aquest acompliment de funcions;
- Retre comptes directament al nivell jeràrquic més alt del responsable o encarregat. Aquesta característica ha d'interpretar-se en el sentit que el delegat ha de poder relacionar-se amb nivells jeràrquics que tenguin la capacitat d'adoptar o promoure decisions basades en les recomanacions, les propostes o les avaluacions que faci.
- Convidar el delegat a participar amb regularitat en les reunions dels quadres directius alts i mitjans.
- Tenir presència en la presa de decisions amb implicacions per a la protecció de dades, de manera que tota la informació rellevant se li transmeti de manera oportuna perquè pugui prestar un assessorament adequat.
- La seva opinió ha de gaudir sempre de la consideració oportuna i cal documentant les raons per les quals no se segueix el seu consell.
- Se l'ha de consultar sense demora si es produeix una violació de dades o un altre incident.
A més, segons el document del Grup de l'Article 29 «Directrius sobre els delegats de protecció de dades», cal tenir en consideració certs elements:
Recursos:
l'article 38.2 del Reglament determina que l'organització ha de donar suport al delegat proporcionant-li els recursos necessaris i l'accés a dades personals i operacions de tractament per fer les seves funcions i mantenir el seu coneixement expert. L'alta direcció ha de donar suport actiu a les funcions del delegat, com el temps suficient perquè les dugui a terme; dotació de recursos econòmics, infraestructura i personal; accés a altres serveis (recursos humans, departament jurídic, tecnologies de la informació) que puguin donar suport al delegat; i equip de persones a càrrec del delegat en funció de l'estructura de l'organització.
Independència:
l'article 38.3 del Reglament estableix unes garanties bàsiques perquè els delegats actuïn amb independència dins l'organització en què presten els seus serveis, incloent-hi que «no rebin cap instrucció relativa a l'exercici de les seves tasques». A més, és important assenyalar que els que estan obligats al compliment de l'RGPD són el responsable o l'encarregat del tractament, de manera que, si adopten decisions contràries a la norma i a l'assessorament prestat pel delegat, el delegat ha de tenir la possibilitat d'expressar amb claredat la seva opinió disconforme respecte a aquestes decisions.
Destitució:
l'article 38.3 esmentat també estableix que els delegats de protecció de dades «no han de ser destituïts ni penalitzats pel responsable o l'encarregat per dur a terme les seves funcions», fet que suposa un reforç de la seva autonomia i independència. Sí que podrien ser acomiadats o sancionats de conformitat amb la legislació contractual, laboral o penal aplicable de cada país, per causes diferents de l'acompliment de les seves funcions (per exemple, per robatori o assetjament sexual). Teniu en compte en l'àmbit de les administracions públiques el règim d'infraccions i sancions aplicables al seu personal.
Conflicte d'interès:
encara que el delegat de protecció de dades pot fer altres funcions en l'organització, aquestes funcions no poden suposar un conflicte d'interessos. Per això, i tenint en compte l'estructura, les activitats i la mida de cada organització, es recomana que els responsables o els encarregats del tractament: determinin els llocs que serien incompatibles amb les funcions del delegat; elaborin normes internes per evitar aquests conflictes; declarar que el delegat no té conflicte d'interessos en relació amb les seves funcions; incloure salvaguardes en normes internes i garantir que l'anunci de la vacant per a delegat o el contracte de serveis sigui prou precís i detallat per evitar els conflictes esmentats.
L'estatut del delegat de protecció de dades per l'article 36 de la LOPDGDD, de conformitat amb el qual:
- Quan es tracta d'una persona física integrada en l'organització del responsable o l'encarregat del tractament, el delegat de protecció de dades no pot ser remogut ni sancionat pel responsable o l'encarregat per desenvolupar les seves funcions llevat que incorri en dol o negligència greu en el seu exercici. Cal garantir la independència del delegat de protecció de dades dins l'organització i s'ha d'evitar qualsevol conflicte d'interessos.
- En l'exercici de les seves funcions, el delegat de protecció de dades tindrà accés a les dades personals i els processos de tractament, a la qual cosa el responsable o l'encarregat del tractament no podrà oposar-se al·legant l'existència de qualsevol deure confidencialitat o secret, incloent-hi el que es preveu en l'article 5 d'aquesta Llei orgànica.