Puis-je désigner un délégué à la protection des données si je n’y suis pas obligé ?

Oui. La désignation volontaire d’un DPO par les responsable de traitement ou le sous-traitants est fortement encouragée par les autorités de contrôle. En effet un DPO est un expert dont la mission est d’aider à appliquer correctement les règles du RGPD et autre législation en matière de données à caractère personnel. Si il ou elle est désigné(e) en tant que tel et dénommé(e) «  délégué à la protection des données » (DPO), l’ensemble des exigences du RGPD devront être respectées. Les articles 37 à 39 s’appliqueront de la même façon que si sa désignation avait été obligatoire.

L’absence d’obligation légale n’empêche pas qu’un organisme emploie du personnel ou fasse appel à un consultant externe pour exercer des missions relatives à la protection des données sur base volontaire et ce,  sans souhaiter se conformer strictement à l‘ensemble des exigences du RGPD. Dans ce cas il est important qu’aucune confusion n’existe tant en interne que pour les autorités de contrôle et les personnes concernées s’agissant du titre, du statut et des tâches de cette personne qui ne peut être considérée comme un « délégué à la protection des données »  au sens du RGPD.