PUBLICIDAD
PUBLICIDAD

Todo lo que querías saber sobre lo que es un delegado de Protección de Datos y sus funciones

La figura del delegado de Protección de Datos o "Data Protection Officer", fue una consecuencia directa de la entrada en vigor del Reglamento General de Protección de Datos.
|

El Reglamento General de Protección de Datos (RGPD) inició su aplicación el 25 de mayo de 2018 y el 6 de julio del mismo año se incorporó al Acuerdo del Espacio Económico Europeo (EEE), por lo que podemos considerar que el mismo armoniza la normativa de protección de datos para todo el territorio europeo.

Una de las principales novedades que implica el RGPD es la creación de la figura del delegado de Protección de Datos o “Data Protection Officer” (en lo sucesivo dPD o DPO), figura que también recoge nuestra normativa interna, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿qué es un dPO y que funciones tiene? El dPO es quien, entre otras funciones, debe supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, gestionar las consultas de las personas que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales.

También es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, velar o supervisar el cumplimiento normativo, cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de los datos (artículo 39 del RGPD).

PUBLICIDAD
PUBLICIDAD

En este punto, resulta interesante destacar que para el buen desarrollo de sus funciones se deberá dotar al dPO de los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad.

Llegados hasta aquí, es normal preguntarnos ¿cuándo es necesario disponer de un DPO? Y, si finalmente lo necesitamos, ¿podemos contratar a quien sea?

CUÁNDO HAY OBLIGACIÓN DE TENER UN DPO 

Pues bien, por un lado, tanto el propio RGPD como nuestra LOPDGDD definen los supuestos en los que tenemos la obligación de designar un dPO y en concreto lo hacemos cuando:

PUBLICIDAD

1.- El tratamiento lo lleve a cabo una autoridad pública, excepto los tribunales que actúen en ejercicio de su función judicial.

2.- Las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala.

Respecto a esto, podemos mencionar que el RGPD no define expresamente qué se entiende por tratamiento a gran escala ni establece una cifra concreta.

PUBLICIDAD

Sin embargo, el grupo de trabajo del artículo 29 (actualmente conocido como el EDPB o European Data Protection Board), nos da algunas pistas señalando qué factores debemos tener en cuenta:

PUBLICIDAD

a) el número de interesados afectados;

b) el volumen de datos que son objeto de tratamiento;

c) la duración de esos tratamientos y

d) la extensión geográfica de tales tratamientos.

PUBLICIDAD

3.- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos, esto es:

  • Origen étnico o racial.
  • Opiniones políticas, convicciones religiosas o filosóficas.
  • La afiliación sindical.
  • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física.
  • Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
  • Condenas e infracciones penales o medidas de seguridad conexas.

QUIÉNES DEBEN NOMBRAR UN DPO

Por su parte, y dado que el RGPD había sido quizás demasiado genérico en su artículo 37, la LOPDGDD en su artículo 34.1 concretó, caso por caso, quiénes deberán nombrar un dPO de forma “obligatoria” (el propio artículo deja mucho margen de interpretación):

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes y las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas física.
  14. Los operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos.
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad
  17. Distribuidores y comercializadores de electricidad.

Por otro lado, resulta imprescindible destacar que no podemos designar a cualquier persona como dPO, antes debemos tener en cuenta su formación y su experiencia profesional.

En esa línea, tanto el RGPD en su artículo 37 (puntos 5 y 6) como la LOPDGDD en su artículo 35 establecen los requisitos que una persona debe cumplir para poder ser nombrado dPO y desempeñar sus funciones.

El RGPD, por su parte, hace hincapié en que el dPO debe tener conocimientos especializados del Derecho, experiencia práctica en materia de protección de datos y, además, la capacidad para desempeñar las funciones mínimas que como hemos comentado anteriormente se recogen en el artículo 39 del RGPD.

Por su parte, la LOPDGDD en su artículo 35, añade que esos requisitos mencionados podrán demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho.

CERTIFICACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS 

Dicho esto, la Agencia Española de Protección de Datos (AEPD) ha sido la primera en la Unión Europea en crear un Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD-DPD) cuyo objetivo es ofrecer seguridad y fiabilidad, en particular, a quienes van a designar, de manera obligatoria o voluntaria, a un dPO.

En el marco de este esquema de certificación, un dPO podrá ser certificado por una entidad de certificación que haya sido acreditada por la Entidad Nacional de Acreditación (ENAC), que es la única entidad designada en España para actuar como único Organismo Nacional de Acreditación en virtud de la normativa europea aplicable (Reglamento (CE) nº 765/2008).

Sea como sea, hay que destacar que esta certificación no es obligatoria sino voluntaria, si bien este sistema ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como dPO.

De todas formas, el dPO que designemos, con o sin certificación, deberá tener conocimientos especializados de Derecho (entendemos que deberá ser licenciado o graduado en Derecho), tener experiencia práctica en materia de protección de datos (resulta evidente que, al margen de una titulación académica, es necesario llevar esos conocimientos que se han adquirido a la vida real) y además, la capacidad para desempeñar las funciones del art. 39 del RGPD.

Aún así, por la propia materia objeto de trabajo, también resulta muy importante que el dPO tenga un perfil de carácter técnico, habida cuenta que con las nuevas tecnologías cualquier implantación de políticas de protección de datos va a requerir de medio telemáticos que permitan desarrollarla.

Por lo tanto, el dPO debe tener un conocimiento especializado, tanto en materia de protección de datos personales como de los tratamientos que lleve a cabo la organización, ya sea una Administración Pública como una organización del sector público, que le designe.

Antes de continuar, debemos mencionar brevemente, que la contratación del DPO puede producirse tanto sobre la base de una relación laboral o en el marco de un contrato de servicios, es decir, mercantil.

Y, además, el dPO deberá ser designado y tener una posición desde la que pueda reportar directamente al más alto nivel jerárquico.

Al final del día lo importante es que tenga garantizado poder desempeñar sus funciones de manera independiente, sin injerencia alguna, y que el responsable o el encargado del tratamiento que lo haya designado garanticen que, entre otras cosas, participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, tenga los recursos necesarios para el desempeño de sus funciones y no reciba ninguna instrucción en el desempeño de sus funciones (artículo 38 del RGPD, y 36 de la LOPDGDD).

En ese sentido, a finales de 2018 el Consejo de la Abogacía portugués indicó que las funciones de abogado “in house” (de empresa) y el dPO son incompatibles.

Otro asunto en el que se cuestionó la independencia del dPO fue el que afectó al departamento de ayudas sociales irlandés, ya que la persona designada era responde y supervisión a la vez sobre los daños de 4 millones de personas.

Por último, también conviene resaltar que la falta de designación de un dPO en los casos en los que sea obligatorio supondría una infracción de la normativa sobre protección de datos personales que, conforme al artículo 83.4.a) del RGPD, podría implicar una multa administrativa (económica) para el responsable o encargado del tratamiento del sector privado de diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Por su parte, el artículo 73 de la LOPDGDD califica esta infracción como grave, lo que podría dar lugar a la imposición de una sanción por importe comprendido entre 40.001 y 300.000 euros y quedando sujeta a su prescripción a los dos años.

Del mismo modo, supondría la comisión de una infracción grave no posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

En ese sentido, la AGPD de Hamburgo multó a Facebook con 51 mil € por no nombrar debidamente al delegado de Protección de Datos de su oficina en Alemania, aunque Facebook no cree que el regulador de Hamburgo necesitara conocer los datos de contacto del mismo.

En conclusión, el dPO es una figura muy importante para la protección de los datos personales desde la aplicación obligatoria del RGPD.

Ahora bien, es cierto que la figura solo es obligatoria en determinados casos y, si nos encontramos sumergidos en ellos, debemos elegir al perfil correcto, independientemente de si tenga certificación o no (recordemos que la misma es voluntaria).

En todo caso, como mínimo deberá tener conocimientos especializados en Derecho, experiencia práctica en la materia y, además, la capacidad para desempeñar las funciones mínimas del artículo 39 del RGPD, con especial importancia en su independencia.