Sí. De conformidad con el artículo 37, apartado 6, el DPD o Delegado de Protección de Datos podrá ser un miembro de la plantilla del responsable o del encargado el tratamiento (DPD interno) o «desempeñar sus funciones en el marco de un contrato de servicios». Esto significa que el DPD o Delegado de Protección de Datos puede ser externo y, en ese caso, su función puede ejercerse sobre la base de un contrato de servicios suscrito con una persona física o una organización.
Si el DPD o Delegado de Protección de Datos es externo, se le aplicarán todos los requisitos de los artículos 37 a 39. Tal y como se establece en las directrices, cuando la función del DPD o Delegado de Protección de Datos la ejerza un proveedor de servicios externo, un grupo de personas que trabaje para dicha entidad podrá desarrollar efectivamente las funciones de DPD o Delegado de Protección de Datos como equipo, bajo la responsabilidad de un contacto principal designado como persona «a cargo» para el cliente. En ese caso, es fundamental que cada miembro de la organización externa que ejerza las funciones de DPD o Delegado de Protección de Datos cumpla todos los requisitos aplicables del RGPD.
En aras de la claridad jurídica y de la buena organización, las directrices recomiendan que el contrato de servicios distribuya de manera clara las tareas dentro del equipo de los DPD o Delegado de Protección de Datos externos y que se designe una única persona como contacto principal y persona «a cargo» de cada cliente.
