PUBLICIDAD
PUBLICIDAD

¿De vuelta al DPO? obligatorio

Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad
|

La organización no gubernamental State Watch ha publicado lo que parece ser la última versión consolidada de la Propuesta de Reglamento general de protección de datos. Se trata de un documento dirigido por la Presidencia al Comité de Representantes Permanentes a partir de la reunión de este órgano de fecha 9 de diciembre. Partiendo del hecho de que se trata de una filtración, y por ello con todas las cautelas, puede constarse que en el documento se da una nueva vuelta de tuerca a la figura del delegado de protección de datos.

En la última versión disponible el artículo 35 de la Propuesta establecía en su párrafo primero:

PUBLICIDAD
PUBLICIDAD

1. El responsable o el encargado del tratamiento podrán o, cuando lo disponga el Derecho de la Unión o el del Estado miembro, deberán designar un delegado de protección de datos.

Esto suponía sin duda una regresión respecto de las distintas versiones de la Propuesta de la Comisión y el Parlamento, en las que bajo ciertas circunstancias, -número de trabajadores del responsable o encargado, naturaleza o volumen de los tratamientos-, esta figura era obligatoria.

En su nueva redacción hay que destacar varios párrafos. En primer lugar hay que referirse al nuevo párrafo primero:

PUBLICIDAD

1. El responsable y el encargado del tratamiento designarán un delegado de protección de dato en los casos en que:

(a) el tratamiento sea llevado a cabo por una autoridad u organismo público, a excepción de los tribunales en ejercicio de la potestad jurisdicional; o

PUBLICIDAD

(b) las actividades principales del responsable o del encargado consistan en tratamientos que, en virtud de su naturaleza, su alcance o finalidad, requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala; o

PUBLICIDAD

(c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 o de datos relativos a condenas penales y delitos mencionados en el artículo 9 bis.

En resumen, las administraciones públicas deberán disponer de delegados de protección de datos (DPO) salvo los órganos judiciales, y también cuando se traten datos personales en casos como el profiling. La monitorización puede darse en otros ámbitos como por ejemplo en actividades como la solvencia patrimonial en las que hay que verificar periódicamente que se den las condiciones adecuadas de legitimación para el tratamiento, en la investigación de mercados con un grupo de sujetos durante un determinado tiempo, en el control de trabajadores mediante geolocalización y en general en controles asociados a la productividad o en el análisis de riesgos y/o trazabilidad de determinadas categorías de trabajos. Se trata en todo caso de un concepto jurídico indeterminado que podría dar mucho juego.

Asimismo, será exigible el DPO cuando se traten categorías especiales de datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual. Finalmente también será necesaria esta figura cuando se traten datos relativos a condenas y antecedentes penales.

Por otra parte, el párrafo cuarto incluye la posibilidad de que esta obligación pueda ser impuesta en otros casos cuando lo disponga el Derecho de la Unión o el del Estado miembro.

Se trata sin duda de una buena noticia. Los profesionales hemos defendido la necesidad de reivindicar esta figura, tanto en el ámbito nacional por parte de la Asociación Profesional Española de Privacidad como en nuestra dimensión europea a través de la   Confederation of European Data Protection Organisations-CEDPO.  Sin embargo todavía queda mucho por matizar.

PUBLICIDAD

El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura Norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto “accountable”, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Por otra parte, y sin duda será el interlocutor necesario con el regulador, con la Agencia Española de Protección de Datos, y el colaborador que sin duda la institución necesita.

Sin embargo, habrá que definir algunos extremos. No es posible que nuestra economía pueda soportar en muchos casos un DPO a tiempo completo. Un médico, una farmacia, una óptica necesitan un acompañamiento externo puntual mientras que un hospital necesitará de un DPO a tiempo completo. Por otra parte, esta filosofía de geometría variable debería ser considerada por el Gobierno de España como criterio para extender la figura del DPO a más ámbitos para qué de modo racional y adecuado se garantice el cumplimiento normativo. Si no es así, me permito pronosticar un universo PYME de incumplimientos generalizados.

Además deberemos ser capaces de “reconocer un DPO”. ¿Bastará con ser un titulado superior ya sea graduado o licenciado? Puede concluirse que no, salvo que se trate de un título oficial específico. En todo caso la Asociación Profesional Española de Privacidad ha diseñado para ello un modelo riguroso de certificación y un espacio de formación continuada que ofrecerá seguridad a la hora de identificar a un DPO, ya que opera bajo los criterios de rigor académico y profesional, y un control independiente a través de un Consejo Asesor integrado por expertos de reconocido prestigio.

España, cuenta con una tradición de cumplimiento normativo en privacidad que nos sitúa en una posición de liderazgo en la materia con la aprobación de la Propuesta de Reglamento general de protección de datos nos espera un apasionante periodo de crecimiento y mejora en el que la construcción conjunta de una economía digital regida por una “Privacidad Marca España” debe ser una objetivo estratégico para la cual la figura del DPO será crucial.

Documento.: Proposal for a Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [first reading] – Preparation for trilogue.