Firmas
La obligatoriedad del delegado de Protección de Datos en los canales de denuncia
28/5/2022 06:48
|
Actualizado: 27/5/2022 15:22
|
Uno de los aspectos más interesantes contenidos en el Reglamento (UE) 2016/679 General de Protección de Datos, es la consolidación de la figura del delegado de protección de datos
Conceptualmente, un delegado de protección de datos (DPD/DPO) es aquella persona, responsable en el seno de una organización, de realizar la supervisión y monitorización, de forma independiente y confidencial, con relación a si se está cumpliendo de manera adecuada la normativa en materia de protección de datos personales, la cual en el momento actual está constituida por el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y por la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales, y garantía de los derechos digitales (LOPDGDD).
Existen supuestos en los que el nombramiento de un delegado de protección de datos tiene un carácter obligatorio, y otros, en los que dicha designación es voluntaria.
SUPUESTOS EN LOS QUE ES OBLIGATORIO DE DESIGNAR A UN DPD O DPO
Con carácter general, en el artículo 37. 1º del RGPD se determinan los supuestos en los que un responsable o un encargado de tratamiento vienen en la obligación de designar un delegado de protección de datos dentro del seno de su organización, siendo, por tanto, la misma obligatoria, siempre que concurran alguno de los siguientes supuestos, que se citan a continuación:
a) Que, el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) Que, las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) O, que, las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales, y de datos relativos a condenas e infracciones penales.
A estos supuestos ahora se les adiciona otro más, en este caso, el mismo se encuentra previsto en el apartado 1º del artículo 34 del Anteproyecto de Ley reguladora de la protección de las personas que informe sobre infracciones normativas y de lucha contra la corrupción por la que se traspone la Directiva (UE) 2019/1937, del Parlamento y del Consejo de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del derecho de la Unión, lo que habitualmente se conoce como Canal de Denuncias.
En dicho nuevo precepto se señala que:
“Las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, cuando, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, no tuvieran la obligación previa de su designación, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho sistema interno de comunicaciones”.
Es decir, a través de esta reforma legislativa, todas las empresas y personas jurídicas, sean estas de naturaleza pública o privada, que tengan la obligación de implementar dentro de su Modelo de Cumplimiento Normativo («Compliance»), un Canal de Denuncias de acuerdo con esta futura Ley, deberán disponer obligatoriamente de un delegado de protección de datos.
De facto, supone en la práctica, añadir un nuevo supuesto de obligatoriedad de nombramiento de delegado de protección de datos, a los ya previstos inicialmente en el citado apartado 3º del artículo 37 del RGPD.
DETERMINADAS PERSONAS JURIDICAS DEBEN TENER OBLIGATORIAMENTE UN CANAL DE DENUNCIAS
Complementariamente a lo ya indicado, debe tenerse en cuenta que, en el momento presente se establece la obligatoriedad de disponer de un sistema interno de información o Canal de Denuncias a las siguientes entidades del ámbito privado:
a). Las personas físicas o jurídicas del sector privado que tengan contratados 50 o más trabajadores.
b). Aquellas personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente, en las condiciones legales establecidas al efecto.
En el ámbito estrictamente público, dichos sistemas de información son también obligatorios para:
a). La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
b). Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
c). Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
d). Las Universidades públicas.
e). Las Corporaciones de Derecho público.
f). Las fundaciones del sector público.
RELACIÓN ENTRE EL CANAL DE DENUNCIAS Y LA PROTECCIÓN DE DATOS PERSONALES
Asimismo, es necesario tener presente que en los artículos 29 y siguientes de dicho nuevo Anteproyecto de Ley se determinan unas normas concretas y específicas, donde a través de las mismas, se establece una estrecha vinculación entre la gestión de los Canales de Denuncia y la protección de datos personales, en los que se regulan aspectos muy interesantes sobre la aplicación de estos sobre aquellos, entre los que cabe destacar, los que se citan a continuación:
a). El régimen jurídico al que está sometido el tratamiento de datos personales en los sistemas de información o en el Canal de Denuncias.
b). La licitud del tratamiento de datos personales en este ámbito de actuación.
c). El derecho de información que poseen los titulares de los datos personales, y el ejercicio por los mismos de los derechos reconocidos en el ámbito de la privacidad.
d). El tratamiento de los datos personales en los sistemas de internos de información.
e). La preservación de la identidad del informante y de las personas investigadas desde la perspectiva de la protección de los datos personales.
f). La figura del delegado de protección de datos, dentro del ámbito de los sistemas internos de información.
Debe destacarse que el citado Anteproyecto de Ley prevé la regulación del tratamiento de datos personales en el Canal de Denuncias, ya se trate de entidades obligadas a disponer obligatoriamente del mismo, como en el caso de los terceros externos que gestionen y presten dichos servicios a otras entidades, y, que, aunque no tuvieran la obligación previa de la designación de un delegado de protección de datos, vienen obligados a partir de la aprobación de dicho texto legal a nombrar un delegado de protección de datos, el cual tiene competencia para todos los tratamientos llevados a cabo, entre los que se incluye el del sistema interno de comunicaciones, dentro del ámbito normativo de sus funciones.
FUNCIONES PROFESIONALES DEL DPD/DPO
En tal sentido, debe tenerse presente que las funciones profesionales del delegado de protección de datos se recogen expresamente en los artículos 39 del RGPD, y, además, en los artículos 36 y 37 de la LOPDPGDD, teniendo asignado dicho profesional de manera principal, la actividad vinculada a la aplicación de la legislación sobre privacidad y protección de datos.
Así, el delegado de protección de datos en el seno de cualquier entidad, debe tener como mínimo asignadas las siguientes funciones y atribuciones[i]:
a) Informar y asesorar al responsable, o al encargado del tratamiento, y a las personas autorizadas para tratar los datos personales bajo su autoridad directa, en virtud del RGPD, la LOPDPGDD y de otras disposiciones de protección de datos de la UE o de sus Estados miembros;
b) Supervisar el cumplimiento de lo dispuesto en el RGPD, la LOPDPGDD y en otras disposiciones de protección de datos de la UE o de sus Estados miembros, y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales;
c) Supervisar la asignación de responsabilidades.
d) Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento.
e) Supervisar las auditorías correspondientes.
f) Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativas a la protección de datos y supervisar su aplicación.
g) Cooperar y actuar como interlocutor con la autoridad de control para las cuestiones relativas al tratamiento de datos personales, incluida la consulta previa.
El delegado de protección de datos tiene que desempeñar el ejercicio de sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, este caso, las propias de los sistemas de información internos, teniendo en cuenta la naturaleza, el alcance, el contexto y fines de dicho tratamiento.
Además, el delegado de protección de datos debe ser capaz de desarrollar las siguientes actividades en el ámbito de los sistemas internos de información:
a) Recabar la información necesaria para determinar las actividades de tratamiento.
b) Analizar y comprobar la conformidad de las actividades de tratamiento con la normativa aplicable.
c) Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
d) Recabar información para supervisar el registro de las operaciones de tratamiento.
e) Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.
f) Asesorar sobre:
f.1.) Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos y qué áreas o tratamientos deben someterse a auditoría interna o externa.
f.2.) Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos.
f.3-.) Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o mediante contratación externa.
f.4.) Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados, – si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos.
f.5.) Y, si sus conclusiones (seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el RGPD.;
g) Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
h) Asesorar sobre qué actividades de formación internas proporcionar al personal y a los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.
i) Intervenir en caso de reclamación ante las autoridades de protección de datos.
De todo ello, se debe tomar en consideración el más que probable auge que van a cobrar los sistemas internos de información en el ámbito de las empresas y en toda clase de organizaciones, y al mismo tiempo, también la figura del delegado de protección de datos, cuya presencia se va a generalizar en una gran mayoría de empresas, ofreciendo con ello, desde luego, unas oportunidades laborales y profesionales muy interesantes y atractivas.
[i] Cfr.: Esquema de Certificación de delegados de protección de datos de la Agencia Española de Protección de Datos (ESQUEMA AEPD-DPD)
Otras Columnas por Javier Puyol Montero: