Les funcions del delegat de protecció de dades, que seran d'informació, assessorament i supervisió, es troben especificades en l'article 39 de l'RGPD, i es poden concretar en les àrees següents:
Respecte al compliment
- Compliment de principis relatius al tractament, com els de limitació de finalitat, minimització o exactitud de les dades.
- Identificació de les bases jurídiques dels tractaments.
- Valoració de compatibilitat de finalitats diferents de les que van originar la recollida inicial de les dades.
- Existència de normativa sectorial que pugui determinar condicions de tractaments específics diferents de les que estableix la normativa general de protecció de dades.
- Contractació d'encarregats de tractament, incloent-hi el contingut dels contractes o actes jurídics que regulin la relació responsable-encarregat.
- Identificació dels instruments de transferència internacional de dades adequats a les necessitats i les característiques de l'organització i de les raons que justifiquen la transferència.
- Disseny i implantació de polítiques de protecció de dades.
- Auditoria de protecció de dades.
- Establiment i gestió dels registres d'activitats de tractament.
En aquesta matèria, l'article 36 de la LOPDGDD té en compte tasques molt específiques:
- El delegat pot inspeccionar els procediments relacionats amb l'objecte d'aquesta Llei orgànica i emetre recomanacions en l'àmbit de les seves competències.
- Quan el delegat de protecció de dades apreciï l'existència d'una vulneració rellevant en matèria de protecció de dades l'ha de documentar i comunicar immediatament als òrgans d'administració i direcció del responsable o l'encarregat del tractament.
Respecte a la relació amb els interessats:
- Disseny i implantació de mesures d'informació als afectats pels tractaments de dades.
- Establiment de mecanismes de recepció i gestió de les sol·licituds d'exercici de drets per part dels interessats.
- Valoració de les sol·licituds d'exercici de drets per part dels interessats.
En aquest àmbit, la LOPDGDD dissenya un procés de mediació o intermediació directa amb les persones interessades en cas d'infracció en l'article 37:
Article 37. Intervenció del delegat de protecció de dades en cas de reclamació davant les autoritats de protecció de dades.
- Quan el responsable o l'encarregat del tractament hagin designat un delegat de protecció de dades, l'afectat pot, abans de presentar una reclamació contra aquells davant l'Agència Espanyola de Protecció de Dades o, si escau, davant les autoritats autonòmiques de protecció de dades, adreçar-se al delegat de protecció de dades de l'entitat contra la qual es reclama.
En aquest cas, el delegat de protecció de dades ha de comunicar a l'afectat la decisió que s'ha adoptat en el termini màxim de dos mesos a comptar des que en va rebre la reclamació.
- Quan l'afectat presenti una reclamació davant l'Agència Espanyola de Protecció de Dades o, si escau, davant les autoritats autonòmiques de protecció de dades, aquelles podran trametre la reclamació al delegat de protecció de dades a fi que hi respongui en el termini d'un mes.
Si transcorregut aquest termini el delegat de protecció de dades no ha comunicat a l'autoritat de protecció de dades competent la resposta donada a la reclamació, aquesta autoritat continuarà el procediment de conformitat amb el que estableixen el títol VIII d'aquesta Llei orgànica i les seves normes de desplegament.
Respecte a la seguretat:
- Anàlisi de risc dels tractaments realitzats.
- Implantació de les mesures de seguretat adequades als riscs i la naturalesa dels tractaments.
- Establiment de procediments de gestió de violacions de seguretat de les dades, incloent-hi l'avaluació del risc per als drets i les llibertats dels afectats i els procediments de notificació a les autoritats de supervisió i als afectats.
Respecte a la prevenció:
- Determinació de la necessitat d'avaluar l'impacte sobre la protecció de dades.
- Realització d'avaluacions d'impacte sobre la protecció de dades.
- Implantació de les mesures de protecció de dades des del disseny i la protecció de dades per defecte adequades als riscs i la naturalesa dels tractaments.
Respecte a la cooperació:
- Relacions amb les autoritats de supervisió.
En aquest sentit, l'article 36.1 estableix que el delegat de protecció de dades «actuarà com a interlocutor del responsable o l'encarregat del tractament davant l'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades».
Respecte a la formació:
- Implantació de programes de formació i sensibilització del personal en matèria de protecció de dades
A més dels preceptes del Reglament, als quals hem fet referència sobre la regulació del delegat de protecció de dades, la norma es refereix al delegat en altres preceptes:
- En el dret d'informació (articles 13 i 14): té en compte la possibilitat que quan es recullin les dades de caràcter personal dels interessats se'ls facilitin les dades de contacte del delegat de protecció de dades, en cas que hagi estat designat.
- En el Registre d'activitats (article 30): l'han d'implementar tant el responsable com l'encarregat, i també hi haurien de figurar les dades de contacte esmentades.
- Notificacions de violacions de seguretat (article 33): s'han d'incloure les dades de contacte del delegat amb la finalitat de poder obtenir més informació sobre la violació ocorreguda.
- Avaluacions d'impacte de protecció de dades (article 35): obligació que el responsable reculli l'assessorament del delegat de protecció de dades a l'hora de fer aquestes avaluacions. Si una vegada feta l'avaluació d'impacte, el tractament de dades pot suposar un risc alt si no es mitiguen els danys i, per tant, el responsable ha de consultar sobre això l'autoritat de control, ha d'incloure en la consulta les dades de contacte del delegat de protecció de dades.
- Normes corporatives vinculants (article 47): en el seu contingut mínim s'han de reflectir les funcions del delegat de protecció de dades.
- Relació amb les autoritats de control de protecció de dades (article 57.3): les relacions entre el delegat de protecció de dades i la seva respectiva autoritat de control seran gratuïtes, sense cost econòmic per a l'entitat que ha designat el delegat.