Delegado de Protección Datos: ¿Cuándo debemos nombrar uno?

El Delegado de Protección de Datos (DPD) será el elemento nuclear de la nueva legislación en materia de protección de datos para muchas organizaciones, cuya entrada en vigor está prevista para mayo de 2018. Además de facilitar el cumplimiento mediante la implementación de herramientas de rendición de cuentas (tales como facilitar o llevar a cabo evaluaciones de impacto y auditorías de protección de datos), los DPD actúan de intermediarios entre las partes interesadas correspondientes (p. ej. autoridades supervisoras, interesados y unidades de negocio dentro de las organizaciones).

¿Qué es el DPD?

El Reglamento 2016/679 del Parlamento Europeo y del Consejo (RUE 2016/679), de 27 de abril de 2016, no contempla en su artículo 4 (Definiciones) una definición de la figura del delegado de protección de datos (DPD).

Para encontrar una definición nos hemos de remitir al “Esquema de la Agencia Española de Protección de Datos (AGPD) de certificación de los delegados de protección de datos”, publicado en colaboración con la Entidad Nacional de Acreditación (ENAC) el pasado 10 de julio de 2017, nos indica que:

El DPD es un profesional cuyas funciones se señalan en el artículo 39 del Reglamento (UE) 679/2016, y se ocupa de la aplicación de la legislación sobre privacidad y protección de datos.

El concepto de DPD no es nuevo. Aunque la vigente legislación (Directiva 95/46 UE) no exige a ninguna organización su nombramiento, en varios Estados miembros se ha implementado su designación en los últimos años.

La protección de datos es responsabilidad del responsable o el encargado del tratamiento, quien asimismo tiene un papel crucial a la hora de hacer posible el desempeño efectivo de las tareas del DPD.

El nombramiento de un DPD es el primer paso, pero debe conferírsele suficiente autonomía y recursos para que lleve a cabo su cometido de forma efectiva.

¿Cuándo debe designarse un DPD?

El artículo 37 del RUE 2016/679 exige que se designe un DPD en tres casos específicos:

1. Cuando el tratamiento lo lleva a cabo una autoridad u organismo público;

2. Cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o

3. Cuando las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

El artículo 37 se aplica tanto a los responsables como a los encargados del tratamiento con respecto a la designación de un DPD. En función de quién cumpla los criterios sobre la designación obligatoria, en algunos casos solo el responsable o solo el encargado, en otros casos tanto el responsable como el encargado estarán obligados a nombrar un DPD (los cuales deberán cooperar entre sí).

Es importante destacar que, incluso si el responsable del tratamiento cumple los criterios para la designación obligatoria, su encargado del tratamiento no está necesariamente obligado a nombrar un DPD, aunque puede ser una práctica aconsejable.

Las organizaciones pueden nombrar, aun no estando legalmente obligadas, un DPD para facilitar el cumplimiento de la normativa y, por otra parte, obtener una ventaja competitiva. Cuando se produzca una designación voluntaria, se aplicarán a la misma los mismos requisitos que si la designación hubiese sido obligatoria.

Analicemos los casos específicos contemplados en el artículo 37 del RUE 2016/679

Autoridad u organismo público: El RUE 2016/679 no define lo que constituye una “autoridad u organismo público”, por lo que deberemos estar a la legislación de cada país.

Una tarea pública se puede llevar a cabo, y la autoridad pública se puede ejercer, no solo por parte de autoridades u organismos públicos sino de otras personas físicas o jurídicas regidas por el derecho público o privado, de acuerdo con la legislación nacional de cada Estado miembro.

Aunque no existe obligación en tales casos, es recomendable que:

I. las organizaciones privadas que llevan a cabo tareas o ejercen autoridad pública designen un DPD y que

II. la actividad de dicho DPD cubra también todas las operaciones de tratamiento llevadas a cabo, incluidas las que no están relacionadas con el desempeño de una tarea pública o el ejercicio de una función pública (p. ej. la gestión de una base de datos de empleados).

Actividades principales: El artículo 97 del RUE 2016/679 específica que las actividades principales de un responsable del tratamiento están relacionadas con “actividades primarias y no con el tratamiento de datos personales como actividades auxiliares”. Las “actividades principales” pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o el encargado del tratamiento.

Todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades normales de respaldo de TI, las cuales son funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, se consideran normalmente funciones auxiliares más que la actividad principal.

A gran escala: El RUE 2016/679 no define el concepto “a gran escala”. De hecho, no es posible señalar una cifra exacta ya sea con relación a la cantidad de datos procesados como al número de personas afectadas, que sería aplicable en todas las situaciones.

En cualquier caso, es recomendable tener en cuenta los siguientes factores a la hora de determinar si el tratamiento se lleva a cabo a gran escala:

1. El número de interesados involucrados (bien como cifra concreta o como proporción de la población correspondiente)

2. El volumen de datos o el abanico de diferentes conceptos de datos que se procesan

3. La duración, o permanencia, de la actividad de tratamiento de datos

4. El alcance geográfico de la actividad de tratamiento

Seguimiento regular y sistemático: En este concepto se incluye claramente todas las formas de seguimiento y creación de perfiles en Internet, inclusive a los efectos de publicidad basada en el comportamiento.

No obstante, la noción de seguimiento no está limitada al entorno on-line y el seguimiento en Internet solo debe considerarse un ejemplo de seguimiento del comportamiento de los interesados.

Categorías especiales de datos y datos relativos a condenas y delitos penales: De conformidad con la definición del artículo 9 del RUE 2016/679.

La designación del DPD en el anteproyecto de la nueva LOPD

El RUE 2016/679 supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios.

El anteproyecto de LOPD no pretende reiterar el texto del RUE 2016/679 para que sea asumido como integrante del Derecho interno, sino que trata de clarificar sus disposiciones, dentro de los márgenes que el mismo establece.

El anteproyecto regula, en su artículo 35, la designación del DPD estableciendo una lista abierta (… se consideran incluidas en dichos supuestos, en todo caso,…) de los supuestos previstos en el artículo 37.1 del RUE 2016/679 (clarificando su redacción, pero en ningún caso sustituyéndola); incluyendo entre otros:

1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.

2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.

3. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.

4. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

5. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Las designaciones, nombramientos y ceses de los DPD deberán ser comunicadas en el plazo de 10 días a la AGPD y, en su caso, a las autoridades autonómicas de protección de datos.

La función del DPD puede ejercerse también sobre la base de un contrato de servicios suscrito con una persona física o una organización ajena a la organización del responsable o el encargado del tratamiento.

La AGPD ha optado por promover un sistema de certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *