En mayo de 2018 entro en vigor el nuevo Reglamento General de Protección de Datos. Una norma que es de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer) en determinados supuestos.
La norma no precisa los casos en los que será necesario contratar con el DPO a través determinar una cantidad de datos tratados, personas afectadas por el tratamiento o el ámbito de los mismos, sino que ofrece una descripción general de los supuestos en que será obligatorio.
La figura del Delegado de Protección de Datos viene recogida en los art. 37 a 39 y en el considerando 97.
Artículo 37: Designación del Delegado de Protección de Datos
1. El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:
a. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (Tratamiento de categorías especiales de datos personales) y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).
2. Un grupo empresarial podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento.
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único Delegado de Protección de Datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un Delegado de Protección de Datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El Delegado de Protección de Datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
5. El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 (Funciones del Delegado de Protección de Datos).
6. El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
7. El responsable o el encargado del tratamiento publicarán los datos de contacto del Delegado de Protección de Datos y los comunicarán a la autoridad de control.
Artículo 38: Posición del Delegado de Protección de Datos
1. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al Delegado de Protección de Datos en el desempeño de las funciones mencionadas en el artículo 39 (Funciones del Delegado de Protección de Datos), facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El Delegado de Protección de Datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El Delegado de Protección de Datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Artículo 39: Funciones del Delegado de Protección de Datos
1. El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
a. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 (Evaluación de impacto relativa a la protección de datos);
d. cooperar con la autoridad de control;
e. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 (Consulta previa), y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
A. Alcance
La designación de un Delegado de Protección de datos es obligatoria para el responsable y encargado de tratamiento en los supuestos en los que:
a. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b. las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c. las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Es necesario, por tanto, tener la condición de autoridad u organismo público o realizar actividades a gran escala de monitorización o de observación habitual y sistemática de los interesados, o de categorías especiales de datos o aquellos relativos a condenas o infracciones penales. Es importante, por tanto, resaltar que nuevamente se incorpora el concepto gran escala, es decir, no sólo deben de existir tratamientos de categorías especiales de datos o tratamientos sistemáticos habituales del interesado, si no que los mismos deben de ser realizados a gran escala.
Por tanto, al igual que en la Evaluación de Impacto, es necesario realizar una mención al considerando 91, para tratar de esclarecer que se entiende por gran escala según el RGPD:
…las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hacen más difícil para los interesados el ejercicio de sus derechos.
En este sentido los tratamientos a nivel local, aunque se realicen a través de tratamientos sistemáticos habituales o de categorías especiales de datos, no supondrán la obligación de designación de un Delegado de Protección de Datos ya que los mismos no se producen a nivel regional, nacional o supranacional.
No obstante, el principio de Accountability o Responsabilidad Proactiva demanda la existencia de un órgano de control que vele por el cumplimiento del RGPD en la empresa u organización, siendo por tanto recomendable encomendar dichos trabajos de verificación y supervisión del cumplimiento a una Persona física u órgano colegiado que se encargará de la eficaz implantación del RGPD dentro de la organización o empresa. A este respecto, llama la atención la referencia que se realiza en el art. 47.2 h) relativo al contenido de las normas corporativas vinculantes:
h) las funciones de todo Delegado de Protección de Datos designado de conformidad con el artículo 37 (Designación del delegado de protección de datos), o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;
Consideramos, por tanto, que si bien no es necesario su nombramiento y por tanto no sancionable su designación es recomendable su existencia como órgano de supervisión del cumplimiento del RGPD en la organización o empresa.
En los supuestos de grupos empresariales se podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento. Igualmente, en el caso de autoridades u organismos públicos, se podrá designar un único Delegado de Protección de Datos para varias autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. Así mismo podrá ser externalizado o formar parte de la plantilla del responsable o encargado. Sus datos de contacto deberán ser publicados y comunicados a la Autoridad de Control competente. A este respecto conviene señalar que no necesariamente se deben publicar el nombre y apellidos del Delegado de Protección de Datos bastando identificar los datos de contacto del mismo.
B. Contenido
En el art 38 de RGPD se establece la Posición del Delegado de Protección de Datos
- Debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
- Se le deberán facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
- No puede recibir instrucciones en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
- Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para cualesquiera cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
- Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
Podrá desempeñar otras funciones y cometidos, debiendo garantizarse que las mismas no den lugar a un conflicto de intereses.
Respecto a las funciones del Delegado de Protección de Datos el art. 39 del RGPD señala que las funciones mínimas serán:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les conforme al RGPD, así como de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- Supervisar el cumplimiento de lo dispuesto en RGPD y de otras disposiciones o políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
El Delegado de Protección de Datos será obligatorio en los supuestos de autoridades y organismos públicos, y en los supuestos de tratamiento a gran escala de datos para actividades de tratamientos sistemáticos habituales o tratamientos de categorías especiales de datos.
- Puede ser externalizado.
- Debe tener conocimientos especializados en Derecho y en la práctica de Protección de Datos
Por ello, para ofrecer algo de luz a las empresas en esas zonas grises, la Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan algo más los conceptos a los que se refiere el Reglamento.
Tres supuestos de designación obligatoria
El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El GP29 recomienda, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.
«Actividades principales»
Cuando los dos segundos apartados se refieren a las «actividades principales del responsable o el encargado del tratamiento» hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
«A gran escala»
El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es «a gran escala». El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegado.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es «a gran escala» son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
«Seguimiento regular y sistemático»
Por «seguimiento» debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
Al hablar de «regular» se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por «sistemático», el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.
Qué es un Delegado de Protección de Datos
Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.
En la Guía del Reglamento General de Protección de Datos para responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el delegado de protección de datos.
Esta figura, conocida popularmente como DPO (en inglés, Data Protección Office), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.
En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación de la siguiente forma:
Ambos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.
Por último, indicar que, si bien esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.