Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿Qué es el delegado de Protección de Datos?

¿Qué es el delegado de Protección de Datos?
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
05/6/2016 07:56
|
Actualizado: 23/2/2021 12:12
|

En esta noticia se habla de:

Tal como se ha señalado desde ENATIC, con la aprobación del Reglamento General de Protección de Datos, por el Consejo y el Parlamento Europeo el pasado 14 de abril, quedan despejadas algunas dudas, y pendientes otras, en relación con la figura del “delegado de Protección de Datos” (en inglés, “Data Protection Officer”, o en acrónimo, “DPO”).

Esta figura es nueva en España pero tiene ya un largo recorrido en otros países de la Unión Europea, especialmente en Alemania, primer país en incluirla en su normativa nacional sobre protección de datos personales.

Actualmente se encuentra prevista y regulada dicha figura en el artículo 34 y siguientes del nuevo Reglamento Europeo de Protección de Datos de carácter personal.

En concreto, la figura del “Bundesbeauftragten für den Datenschutz” fue incluida en la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG), de 27 de enero 1977.

Y fue la delegación alemana la que, unos años más tarde, influiría para que la figura se incluyese también en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que queda derogada por el Reglamento Europeo de Protección de Datos, en virtud de lo previsto en su artículo 94, una vez que el mismo comience a ser aplicado.

Sea como fuere, dejando a un lado cuestiones terminológicas, ya que la traducción jurídica del inglés al español a veces puede no ser la más adecuada, y de aplicación del artículo 18, apartado 2, segundo guión de la Directiva 95/46/CE en cuanto a si un Estado miembro, salvo el caso de España y otros que no aprovecharon la opción, podía simplificar e incluso omitir la notificación de ficheros ante la autoridad de protección de datos, ahora la figura del DPO será obligatoria, en todos los Estados miembros, en los casos previstos en el citado Reglamento.

En este mismo sentido, según se indica en el diario El País, el “delegado de Protección de Datos”, es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.

Su nombramiento se produce a instancia del responsable y el encargado del tratamiento los cuales procederán a designará un delegado de protección de datos siempre que:

a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Puede afirmarse, con Ricard Martínez, que la nueva norma confiere al DPO unas competencias mucho más amplias que las atribuidas al responsable de seguridad, figura regulada en el Reglamento que desarrolla la Ley Orgánica de Protección de Datos española, y que está encargado únicamente de «coordinar y controlar las medidas de seguridad» sobre la materia.

No obstante ello, las funciones que al mismo le encomienda el Reglamento Europeo de Protección de Datos, consisten básicamente, según señala Pérez Serna, en las que se enuncian a continuación:

a) Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas.

En una muestra más de la independencia y responsabilidad que caracteriza el ejercicio de sus funciones, el DPO deberá generar y guardar toda la documentación relativa a su asesoramiento. Este material sería de trascendental importancia en caso de conflicto al intentar clarificar las responsabilidades sobre una actuación negligente en materia de privacidad.

b) Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Formación interna y auditorías, dos elementos claves en políticas de privacidad.

c) Supervisar la implementación y aplicación del Reglamento Europeo de Protección de Datos, en particular, por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del mencionado Reglamento europeo.

Es decir, supervisión desde el minuto inicial de cualquier tratamiento de datos, incluso en el diseño de aplicaciones. Especial atención a los derechos de los ciudadanos.

d) Velar por la conservación de la documentación contemplada en el artículo 28.

La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad.

e) Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.

A dicha figura se le debe atribuir, por tanto, la responsabilidad de la comunicación tanto a las autoridades como a los directamente afectados a consecuencia de la brecha de seguridad producida.

f) Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias.

En este sentido, son de su cometido los estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.

g) Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.

h) Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

CÓMO DEBE SER CONSIDERADO

Es, por tanto, y así debe ser considerado, como un intermediario en todas las comunicaciones entre responsable del fichero y las autoridades de control, manteniendo potestad de actuar a iniciativa propia.

A la vista del artículo 4 del RGPD, según señala ENATIC, relativo a las definiciones contenidas en el Reglamento Europeo de Protección de Datos, puede pensarse que el legislador europeo se ha olvidado de elaborar una definición sobre el alcance y las características fundamentales que engloban a la figura del DPO.

Pero quizás la ausencia de dicha definición es una decisión consciente para evitar restringir quién pueda llegar a constituir y ejercer como DPO.

Al respecto, es importante tener en consideración que la Comisión Europea, cuando presentó en 2012 su propuesta de RGPD (COM(2012) 11 final, de 25 de enero), no incluyó la definición en la misma, pero sí lo hizo en el Documento de Trabajo de los servicios de la Comisión relativo a la evaluación de impacto de su propuesta (SEC(2012) 72 final, de 25 de enero).

En concreto, en dicho documento se define al DPO de la siguiente manera: “una persona responsable dentro del responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo” (traducción no oficial del original en inglés).

Considerando lo anterior, podría decirse que el hecho de que no se restrinja quién pueda ser DPO no significa, sin embargo, que pueda ser cualquiera.

Queda claro que el  Reglamento Europeo de Protección de Datos quiere que el DPO tenga un perfil jurídico, estableciéndose expresamente en el apartado 5, del artículo del artículo 37, que “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.

Asimismo se prevé expresamente, que el delegado de protección de datos sea designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones propias que se encomiendan a dicho profesional.

De reseñarse asimismo que el responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

No obstante ello, dos son los requisitos que deben caracterizar a la persona que quiera ejercer dichas actividad profesional, y que deben ser plenamente acreditables: preparación en la materia que nos ocupa, es decir, protección de datos de carácter personal, y experiencia en la interpretación y aplicación de sus normas, y demás situaciones vinculadas a dicha materia.

UN ÚNICO DELEGADO PARA UN GRUPO EMPRESARIAL

Debe tenerse en cuenta que un grupo empresarial podría nombrar un único delegado de protección de datos siempre que el mismo fuera sea fácilmente accesible desde cada establecimiento. El Reglamento europeo no exige en absoluto que el DPO tenga que ser miembro de la plantilla de la empresa o Administración que requiera de dichos servicios. Así, «puede ser miembro del personal del controlador o procesador de los datos o cumplir con las tareas sobre la base de un contrato de servicios». Además, la norma habilita a los grupos de empresas a nombrar un sólo DPO.

Es importante precisar que el delegado deberá actuar con independencia en el desempeño de sus tareas y no podrá recibir ninguna instrucción relativa al ejercicio de sus tareas, no pudiendo ser sancionado por el responsable o el encargado del tratamiento por desempeñar sus funciones.

Además, debe valorarse el hecho de que el delegado de protección de datos pueda pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios, por lo que las actividades desarrolladas el DPO podrán ser desempeñadas por una empresa externa.

No obstante, al igual que sucede con la figura del Compliance Officer, tal como ha sido puesto de manifiesto por la Fiscalía General del Estado, en su Circular 1/2.016, debe distinguirse entre el desarrollo de la actividad, y la implementación y atribución de las funciones a él encomendadas, en este caso, por el Reglamento Europeo de Protección de Datos.

En este sentido, la función encomendada al delegado de protección de datos, debe permanecer fija e inamovible dentro de la empresa, y otra cuestión bien distinta, es que por la misma, para el mejor desarrollo de la función, dicha actividad pueda ser encargada por la propia compañía a un tercero, mediante un contrato de outsourcing sobre la base de un contrato de prestación de servicios profesionales.

También debe recordarse que un único profesional puede prestar servicio para distintas Administraciones u organismos públicos. También se prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, que se pueda designar un único delegado de protección de datos para varias de estas autoridades u organismos, fundamentalmente tomando en consideración aspectos como su estructura organizativa y tamaño.

El artículo 38 del nuevo Reglamento Europeo de Protección de Datos, señala la obligación que tienen tanto el responsable, como el encargado del tratamiento de garantizar que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, pero esta obligación incluso va más allá, toda vez que los mismos tienen que respaldar, además, a dicho delegado de protección de datos en el desempeño de sus funciones, y a tal efecto le han de facilitar los recursos económicos, materiales y humanos necesarios para el desempeño adecuado de sus funciones, y al mismo tiempo, dicha obligación conlleva la posibilidad de permitirle con toda amplitud, el acceso a los datos personales y a las operaciones de tratamiento para el mantenimiento de sus conocimientos especializados.

INDEPENDIENTE

Su posición de independencia, al menos teórica, con independencia de las valoraciones y las consideraciones que se puedan realizar al efecto, se materializa en el hecho determinante de la necesidad de que el responsable y el encargado del tratamiento garanticen que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones, estableciéndose la previsión expresa, de que el mismo no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones, sin que ello sea impedimento, no obstante, para que el mismo pueda ser destituido, despedido o resuelto su contrato de servicios profesionales por otras causas.

Un hecho que debe ser también considerado, es el que impone que el delegado de protección de datos debe rendir cuentas directamente al más alto nivel jerárquico de la empresa al que pertenezca del responsable o encargado del tratamiento.

Como otros elementos característicos de su función, pueden señalarse los que se indican a continuación:

a). El hecho de que los titulares de los datos o interesados puedan ponerse en contacto directamente con el delegado de protección de datos en lo relativo a todas las cuestiones que afectan al tratamiento de los datos de carácter personal, y en lo atinente al ejercicio de los derechos al amparo de dicho Reglamento Europeo de Protección de Datos.

b). El delegado de protección de datos está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con lo preceptuado a tal efecto, tanto por el Derecho de la Unión Europea, como por lo reglamentado en este sentido, por los diversos Estados miembros de la misma.

c). El delegado de protección de datos puede desempeñar dentro y fuera de la empresa otras funciones y cometidos, y ello no es óbice para que por parte del responsable o encargado del tratamiento se garantice que el ejercicio de dichas funciones y cometidos no dé lugar a la producción de conflicto de intereses, que mediatice o limite el ejercicio de sus funciones por parte del delegado de protección de datos.

Finalmente debe indicarse que estamos en presencia de una nueva función y actividad profesional, diferente al responsable de seguridad previsto en la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos de carácter personal, no necesariamente asignada exclusivamente a un perfil de naturaleza jurídica, si bien, parece que este es el más apropiado, que puede deparar en los años venideros importantes salidas profesionales para personas interesadas tanto en la protección de datos de carácter personal, como en las nuevas tecnologías en el seno de la empresa de una manera general, de ahí, en el momento presente, lo atractivo de esta figura profesional en ciernes.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
    Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
  • Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
    Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
  • Opinión | Huelga del turno de oficio: más legal, imposible
    Opinión | Huelga del turno de oficio: más legal, imposible
  • Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
    Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
  • Opinión | Decisiones importantes antes de dar el «sí, quiero»
    Opinión | Decisiones importantes antes de dar el «sí, quiero»