Una de las dudas más comunes que surgen a nuestros clientes antes de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo, es si existe la obligación de tener un Delegado de Protección de Datos (DPO) en sus Entidades.
Como ya venimos informando a nuestros clientes, el RGPD incorpora nuevos compromisos en materia de privacidad y protección de datos, pero la normativa europea es poco precisa sobre la contratación de un delegado de protección de datos.
Una de las grandes novedades del Reglamento europeo de Protección de Datos es la figura del “Delegado de Protección de Datos” (artículos 37 a 39). Explicamos brevemente en qué consiste:
1. ¿Qué es un Delegado de Protección de Datos?
El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.
2. ¿Qué hace un Delegado de Protección de Datos?
En relación con su designación, el RGPD establece que el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que le son reconocidas, entre las que cabe recordar: Informar y asesorar a los responsables y encargados del tratamiento de datos de contacto personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
- Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos de contacto personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Cooperar con las “autoridades de control” (Agencias de Protección de Datos)
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos de contacto personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
3. ¿Cuál debe ser el perfil de un Delegado de Protección de Datos?
El RGPD establece que el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. A mayor abundamiento, el considerando 97 establece que el nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos que se realicen y de la protección exigida para los datos personales tratados, debiendo ser conforme con la sensibilidad, complejidad y cantidad de los datos de contacto que una empresa trata.
Entre los aspectos que deberán o podrán ser valorados de cara a a acreditar su conocimiento por parte de las empresas, se encuentran las certificaciones oficiales. En este sentido la propia Agencia Española de Protección de Datos, presentaba junto a ENAC su esquema de certificación. Certificación que, sin ser obligatoria, aporta una mayor seguridad jurídica a DPOs y empresas dentro del proceso de designación.
Otros conocimientos necesarios para el desempeño de sus funciones por el DPO, atenderán al conocimiento del sector empresarial y de la organización empresarial, el tipo de operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y necesidades de seguridad y protección de datos del responsable o el encargado del tratamiento, así como, capacidad para fomentar una cultura de protección de datos dentro de la organización.
Así, el propio Grupo de Trabajo del Artículo 29, reconoce, entre las cualidades que le son exigibles al DPO, cualidades personales deben incluir por ejemplo integridad y alta ética profesional, capacidades de comunicación, así como, habilidades personales y empatía a la hora de lidiar con situaciones relativas a la gestión de reclamaciones o posibles discrepancias que se puedan producir entre los criterios empresariales y la interpretación normativa.
Dentro del proceso de designación y elección del perfil y profesional, interno o externo, que desarrolle estas funciones en el seno de las empresas, quizás sea recomendable que el mismo se participe del proceso de adecuación a la nueva normativa, un aspecto que facilita su conocimiento del funcionamiento de la empresa y medidas implantadas.
Responsabilidades del DPO en el ejercicio de sus funciones
Si bien el RGPD establece en su artículo 38 que el DPO no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo en los supuestos de dolo o negligencia grave, y que, a priori, no es responsable personalmente del incumplimiento de la normativa de protección de datos, siendo el responsable o el encargado del tratamiento quienes está obligado a garantizar y ser capaz de demostrar que los tratamientos se realizan de conformidad con el RGPD, puede darse el caso que, la dejación de sus funciones, un mal asesoramiento o la mala praxis profesional puedan conllevar determinadas responsabilidades, incluso en el orden penal, a modo de ejemplo, debe recordarse el deber secreto y confidencialidad (artículo 38 del RGPD), o la no adopción de sus funciones establecidas legalmente. Estas responsabilidades, en el orden penal, pueden derivar de acciones de comisión pura o, incluso, de la comisión de tipos delictivos por comisión por omisión, en relación con sus funciones o posición de garante en el tratamiento de datos personales.
4. ¿Quiénes “deben” tener un Delegado de Protección de Datos?
Están obligados a nombrar un Delegado de Protección de Datos:
A. Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
B. Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
C. Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).
El primero de los puntos no deja lugar a dudas ya que se circunscribe únicamente a organismos públicos pero los dos restantes pueden resultar poco específicos.
En pro de precisar conceptos indeterminados, el Grupo de Trabajo del artículo 29 (el GP29), un órgano consultivo formado por las autoridades de Protección de Datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, concreta estos conceptos.
Además, el Proyecto de Ley Orgánica de Protección de Datos, del pasado 24 de noviembre de 2017 (todavía no aprobada), redactado para adaptar la ley española a la normativa europea, aclara algunas inexactitudes que se dan en el Reglamento General de Protección de Datos.
Actividades principales
- ¿Qué entiende el RGPD por actividades principales del responsable de tratamiento?
Pongamos un ejemplo para entender cómo se materializan estas indicaciones.
Pensemos en un autónomo que lanza una aplicación móvil para ligar que maneja los perfiles de sus usuarios, un colegio profesional de abogados, una asesoría o una clínica sanitaria privada. Todo ellos manejan datos que inciden directa o indirectamente con datos personales. Por tanto, ¿estarían obligados estos autónomos y pymes a contar con un Delegado de Protección de Datos? Para obtener respuesta habría que tomar en consideración también los siguientes factores.
Datos a gran escala
Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa.
El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de datos a gran escala.
Seguimiento regular y sistemático
Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia.
Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.
Como ya hemos podido analizar el RGPD (artículos 37 a 39) establece tres casos en los que será obligatorio la designación de un DPO por el responsable y el encargado del tratamiento, El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, actualmente en fase parlamentaria, multiplica hasta quince los casos en que será obligatoria su designación (artículos 34 a 37):
- colegios profesionales y sus consejos generales,
- centros docentes y las Universidades públicas y privadas,
- entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala,
- prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio
- entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito,
- establecimientos financieros de crédito,
- entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras,
- empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores,
- distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos,
- entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude,
- entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos,
- centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica,
- entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas,
- operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, y
- quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Adicionalmente, debemos recordar que el artículo 37 del RGPD es aplicable tanto a los responsables como a los encargados del tratamiento. En este sentido pueden darse casos en los que sea obligatorio para ambos, debiendo cooperar entre ellos, o que sólo uno u otro tengan que proceder a la designación atendiendo al tipo de tratamientos que realicen.
En relación con los grupos empresariales, el citado artículo 37, posibilita a un grupo empresarial designar un único DPO, siempre y cuando, éste sea fácilmente accesible desde cada establecimiento y pueda llevar a cabo las funciones que le reconoce la normativa en materia de protección de datos.
En todo caso, como conclusión, parece prudente que, antes los obvios vacíos de regulación que ofrece el Reglamento UE 2016/679 y en espera de la Aprobación de una nueva Ley Orgánica, no debemos precipitarnos y dejarnos asesorar bien por nuestra empresa de Protección de Datos: esto lo decimos porque últimamente nos estamos encontrando con empresas que se dedican a desinformar y asustar ofreciendo un servicio que en muchos casos no se necesita.