La figura del delegado de protección de datos

Escrito por | Mercantil

22/03/2018

El próximo 25 de mayo del año corriente es la fecha señalada para que el nuevo Reglamento General de Protección de Datos (RGPD) sea de aplicación directa en todos los Estados Miembros de la Unión Europea.


El RGPD introduce distintas novedades que afectarán a todas aquellas entidades públicas y privadas que traten datos de carácter personal. En la medida que ya explicamos brevemente las novedades operadas en publicaciones anteriores, en la presente reseña comentaremos tres aspectos relevantes sobre una nueva figura incorporada por la sección IV de la norma europea: el Delegado de Protección de Datos (o DPO por sus siglas en inglés: Data Protection Officer’).


De esta manera, a continuación expondremos sucintamente tres cuestiones en relación con esta materia, a saber: (a) en qué supuestos es obligatorio designar un DPO; (b) qué cualidades debe reunir y qué funciones le corresponden y; (c) qué responsabilidades pueden atribuírsele, en su caso, en la imposición de sanciones.


  1. (a) Cuándo debo designar un DPO


El art. 37 del RGPD y su Considerando 97 tasa los supuestos en los que el responsable del tratamiento debe designar un DPO, sin perjuicio de que cualquier organización a la que sea aplicable el RGPD podrá designar voluntariamente esta figura.


Por una parte, el precepto indica que las autoridades u organismos públicos, a excepción de los Juzgados y Tribunales, están obligadas a nombrar esta figura con independencia del tipo de datos que traten.


Sin embargo, de otro lado, las entidades de naturaleza privada únicamente se verán en la necesidad de designar un DPO cuando (i) las actividades principales del tratamiento por parte del responsable o del encargado consistan en operaciones de tratamiento a gran escala y, (ii) las actividades principales del tratamiento por parte del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos.


Teniendo en cuenta que cualquier autoridad u organismos público -a excepción de los Juzgados y Tribunales- deberán designar un DPO, habrá que determinar conforme el resto de supuestos qué se entiende por tratamiento “a gran escala”. Al respecto, el Considerando 91 del RGPD prevé que se entiende por tratamiento “a gran escala” toda cantidad considerable de datos personales a nivel regional, nacional o supranacional que afecte a un gran número de interesados y que sea susceptible de generar un riesgo elevado. Por el contrario, el mismo Considerando prevé que no se entenderá “a gran escala” el tratamiento de datos personales de pacientes o clientes realizado por un médico en su consulta, por otro profesional de la salud (otros especialistas como un fisioterapeuta o un farmacéutico) o por un abogado.


Asimismo, el Grupo de Trabajo del artículo 29 (“GT29”), un órgano consultivo creado a nivel supranacional, indica qué factores hay que tener en cuenta para considerar si el tratamiento es “a gran escala”: (i) Número de interesados; (ii) el volumen de datos; (iii) la duración de la actividad de tratamiento y, (iv) el alcance geográfico.


El GT 29 también recoge una serie de supuestos en los que se entenderá tratamiento “a gran escala” y en los que, por tanto, resultará necesario designar un DPO: (i) el tratamiento de datos de pacientes por un hospital; (ii) el tratamiento de datos de geolocalización de clientes para fines estadísticos; (iii) el tratamiento de datos por una compañía de seguros o un banco, entre otros.


En relación con lo anterior, no debemos olvidar que en España la adaptación al Reglamento requiere la elaboración de una nueva ley orgánica de protección de datos que sustituya a la actual. En este sentido, el Gobierno ha impulsado el proyecto de una nueva Ley de Protección de Datos (PLOD) que actualmente se encuentra en sede de tramitación parlamentaria y que, a los efectos de este punto, nos interesa en lo siguiente. En este sentido, el artículo 34 del PLOPD prevé una serie de supuestos tasados en los que el responsable y el encargado deberán designar un DPO tales como: los colegios profesionales, los centros docentes, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información cuando elaboren perfiles de usuarios, las entidades aseguradoras, entre otros.


Como puede observarse, la designación de un DPO es no una cuestión automática que deban adoptar todas las entidades de naturaleza privada. Sin duda alguna, únicamente el análisis del caso concreto y, en su caso, la consulta concreta ante la Autoridad de Control competente acabará de determinar si un responsable o encargado debe, o no, designar a este profesional; sin perjuicio de que también pueda designarlo voluntariamente.



  1. (b) Qué cualidades debe reunir el DPO y qué funciones le corresponden


El DPO debe reunir una serie de aptitudes profesionales para el desempeño del cargo. En particular, será designado atendiendo a sus cualidades profesionales y a sus conocimientos del Derecho y la práctica en materia de protección de datos. Asimismo, tal y como establece el GT 29, el DPO deberá actuar bajo un criterio de independencia y si bien podrá desempeñar otras funciones dentro de la organización, estas no podrán implicar un conflicto de intereses. En este sentido, el DPO no podrá ocupar un cargo en la organización que le lleve a determinar a su vez los fines y medios del tratamiento de los datos personales (como podría ser el Director de sistemas).


De esta manera, el responsable del tratamiento deberá valorar los anteriores aspectos a los efectos de considerar el nombramiento de una persona en el seno de su compañía para el desempeño del citado cargo o, en su defecto, contratar los servicios de un profesional externo a los efectos de garantizar al máximo la independencia que requiere el ejercicio del cargo.


De otro lado, entre las principales funciones que corresponden al DPO, podemos destacar las siguientes: (i) asegurar el cumplimiento del Reglamento según el tratamiento de datos realizado; (ii) informar y aconsejar al responsable y a sus empleados en el tratamiento de datos; (iii) cooperar con la autoridad de control actuando como punto de contacto entre esta y los interesados; (iv) asesorar en el desarrollo y ejecución de las Evaluaciones de Impacto de Protección de Datos.


La compañía que lo designe debe respaldar al DPO para el correcto desarrollo de sus funciones. Concretamente, entregarle los recursos necesarios para su cometido y facilitarle el acceso a los datos personales y a las operaciones del tratamiento para el mantenimiento de sus conocimientos especializados.



  1. (c) Responsabilidad del DPO en la imposición de sanciones


La Agencia Española de Protección de Datos puede imponer sanciones al responsable o encargado del tratamiento en caso de incumplimiento de las previsiones de la normativa de protección de datos. Por tanto, cuando el DPO haya actuado de forma diligente en el ejercicio de sus funciones, no se le atribuirá responsabilidad alguna en la imposición de sanciones. Además, la propia normativa establece que el DPO no podrá ser destituido ni penalizado por la empresa cuando desempeñe sus funciones conforme a lo establecido en la normativa.


Asimismo, el art. 70 del PLOPD fija el régimen sancionador aplicable para los sujetos responsables de infracciones recogidas en el Reglamento. No obstante, su apartado segundo indica expresamente que “no será de aplicación al delegado de protección de datos el régimen sancionador establecido en este título”; con lo cual, reafirma que al DPO no le serán exigibles las sanciones impuestas en la compañía en la medida que hubiera actuado en el ejercicio de sus funciones y labores encomendadas. Quien responderá será la compañía responsable del tratamiento de los datos.


En conclusión, nos encontramos ante una figura que se incorpora a nuestro ordenamiento jurídico a raíz de la aplicación del Reglamento Europeo de Protección de Datos. No obstante, por su primicia, a día de hoy siguen surgiendo ciertos interrogantes acerca de su encaje en las compañías y los supuestos de su designación. Esperemos que en los próximos meses estas dudas se disipen por parte de la Agencia Española de Protección de Datos.




Escrito por:

< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX