El DPO (Data Protection Officer), o delegado de protección de datos (DPD) en español, es la persona encargada de velar por el cumplimiento del RGPD dentro de una organización. Su misión principal es informar y asesorar al responsable del tratamiento y a los empleados, supervisar el cumplimiento en los tratamientos de datos de carácter personal y cooperar con la autoridad de control.
El RGPD (artículos 37 a 39) hace que su designación sea obligatoria en tres casos: para las autoridades y los organismos públicos, cuando la actividad principal implica un seguimiento regular y sistemático de las personas a gran escala, o un tratamiento a gran escala de las llamadas categorías especiales de datos (salud, opiniones, datos biométricos…). Fuera de estos supuestos, designar un DPO sigue siendo muy recomendable y constituye una buena práctica de gobernanza.
El delegado ejerce sus funciones con plena independencia: no recibe ninguna instrucción sobre la manera de desempeñarlas, rinde cuentas al más alto nivel de la dirección y no debe encontrarse en situación de conflicto de intereses. Puede ser un empleado interno o un prestador externo. Es el punto de contacto preferente de la autoridad de control (la AEPD en España, la CNIL en Francia), así como de las personas afectadas que deseen ejercer sus derechos (acceso, rectificación, supresión, portabilidad).
Para llevar a cabo su función, el DPO se apoya en herramientas de cumplimiento como el registro de actividades de tratamiento, el seguimiento de las solicitudes de ejercicio de derechos y un registro de auditoría trazable. eyeot integra este tipo de funciones, que facilitan el trabajo diario del delegado y la demostración del cumplimiento en caso de inspección. Conviene distinguir al DPO, que es una persona, del acuerdo de tratamiento (DPA), que es un contrato que vincula a un responsable del tratamiento con su encargado.