El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio. Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).
El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD en el ámbito público deberá haberse producido con antelación a esa fecha. Por su parte la Ley orgánica 5/2010, de 22 de junio, de reforma del Código Penal, que entró en vigor el 23 de diciembre de 2010, introdujo en España por primera vez la responsabilidad penal directa de las personas jurídicas por los actos cometidos por sus directivos y personas sometidas a la autoridad de éstos, en el ejercicio de la actividad empresarial y en su provecho. El artículo 31 bis del Código Penal establece que cualquier persona jurídica, incluidas las Sociedades mercantiles Estatales, pueden ser sujetos responsables. A raíz de este gran cambio, empezaron a calar en la sociedad y sobre todo en el ámbito empresarial, los conceptos “compliance”, “cumplimiento normativo” o “sistemas de cumplimiento”