fbpx

Blog

SABER MÁS SOBRE LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS

El data protección officer (DPO por sus siglas en inglés) o delegado de protección de datos (DPD) es quien, entre otras funciones, tiene las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos personales y, en su caso, de gestionar las consultas de las persona s que se pongan en contacto con el mismo en relación con el tratamiento de sus datos personales.

La figura del DPD, fue establecida por primera vez en la República Federal de Alemania, en el contexto de la Ley Federal de Protección de Datos o “Bundesdatensc hutzgesetz”, (BDSG), de 27 de enero de 1977 y su reconocimiento ha influido de manera decisiva en la inclusión ele esta figura en la Directiva 95/ 46/ CE, con el nombre de encargado de la protección de datos personales, en la que España, a diferencia de algunos otros países de la Unión Europea, no optó expresamente por incorporarla a su ordenamiento jurídico, al menos con el carácter de obligatoria.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos no traspuso dicha figura al ordenamiento jurídico interno español, por lo que la misma fue una gran desconocida durante el periodo de vigencia de la meritada Ley Orgánica. Sin embargo, la misma ha cobrado especial realce desde el día 25 de mayo de 2018, fecha en que se produjo la efectiva aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se derogaba la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos.

Por tanto, uno de los requisitos que introduce el RGPD para garantizar su cumplimiento es la obligación de contar con la ayuda de una persona, el delegado de protección de datos, o DPD, que supervise su observancia interna cuando se trate de una autoridad u organismo público, o en el sector privado si el tratamiento lo realiza un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Debe tenerse presente que, el Reglamento General de Protección de Datos (RGPD ) de la Unión Europea dispone que los responsables y encargados de trata­ miento deberán designar un DPD en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio, como, por ejemplo, hace actualmente la República Federal de Alemania al incluir y regular la figura del “Beauftragter für den Datenschutz”en la Ley Federal de Protección de Datos.

El DPD de datos será fundamentalmente el profesional encargado de garantizar el cumplimiento de la normativa de protección de datos en la organización. A diferencia del auditor de cuentas, la labor del DPD consiste en garantizar que la empresa guarda confidencialidad sobre los datos personales de carácter económico, que obtiene, almacena y modifica en el desarrollo de su actividad. Del mismo modo, las empresas de prevención de riesgos se encargan de garantizar la seguridad y salud en el trabajo de los empleados de una empresa.

Al contrario que este tipo de prestadores de servicios, el DPD es la figura en­ cargada de garantizar que la empresa solamente utiliza los datos personales de sus trabajadores en el marco de la relación laboral, y que no atenta contra su privacidad empleando sistemas especialmente invasivos como la geolocalización o la videovigilancia en el centro de trabajo.

En este mismo sentido, su figura debe ser también claramente diferenciada de la de otros profesionales, con los que guarda un cierto parecido en la asunción de determinados roles, pero que a diferencia de ellos, desempeña y asume cometidos muy distintos (v.gr.: (i) consultores en protección de datos o en el ámbito de las tecnologías de la información o comunicación (TIC’s); (ii) CISO’s (Chief lnformation Securiry Officer); (iii) CPO (Chief Privacy Officer); (iv) CSO (Chief Security Office r); (v) CDO (Chief Data Oflicer); o, (vi) la figura del CIO (Chief lnformation Officer), etc.

Por el contrario, si debe tenerse presente que cada vez será más común que el puesto de DPD sea asumido dentro de su ámbito de competencias por el CO (Compliance Officer), al ser cada vez más global el papel del cumplimiento normativo dentro del ámbito de la empresa. Por tanto, se puede afirmar que el DPD tiene como rol principal el asistir y asesorar al procesador con respecto al cumplimiento de la normativo vigente en materia de protección de datos personales y privacidad y, al mismo tiempo, asegurarse de la aplicación de las disposiciones dentro de la organización. Se le exige que mantenga un registro de todas las actividades de procesamiento por la que se involucren datos personales, realizadas por dicha persona jurídica, como responsable o encargado de tratamiento. En este registro se debe incluir aquella información explicativa sobre el propósito de las operaciones de procesamiento y debe ser accesible para cualquier persona legitimada para acceder a la misma.

Sobre la base de este nuevo contexto normativo, se determina que en algunos casos tipificados reglamentariamente que sea obligatorio para algunos responsables y encargados del tratamiento proceder a designar un DPD. Así será en el caso, por ejemplo, de todas las autoridades y de las Administraciones Públicas, y ello con independencia de qué sean tratados por las mismas, y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.

El nombramiento de un DPD es también obligatorio para las autoridades competentes en virtud del artículo 32 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89), y la legislación nacional de aplicación.

Las empresas están obligadas a contratar los servicios de un DPD deben realizar un seguimiento regular, es decir continua do y recurren te, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia. Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.

Este contrato de servicios debe otorgarse previamente al acceso a los datos de carácter personal por parte del DPD, y siempre por escrito, a los efectos tanto de la formalidad requerida en el propio Reglamento (UE) 2016/679, como a efectos meramente probatorios de su con tenido, y de los tratamientos de datos que sobre el mismo se van a llevar a efecto.

En todo caso, dicho Contrato debe estar supeditado a los requisitos establecidos en el artículo 28 del citado Reglamento, y que básicamente son los que se consignan en el apartado 2° de dicho precepto, y que son los que se indican a continuación:

“El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a)         Tratará los datos personales únicamente siguiendo instrucciones documentadas del ,·responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a elfo en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargarlo informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.

b)        Garantizará que las personas autorizadas para tratar datos personales se haya11 comprometido a respetar la confidencialidad o esté11 sujetas a una obligación de confidencialidad de naturaleza estatutaria.

c) Tomará todas las medidas necesarias de conformidad con el artículo 32.

d)        Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento.

e)        Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos m el capítulo III

f)         Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del enca1gado”.

g)         A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.

h)        Pondrá a disposición del responsable toda la información necesaria para de­ mostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”.


Por:

Javier Puyol Montero, Abogado. Ex Magistrado. Letrado del Tribunal Constitucional y Ex Director de los Servicios Jurídicos del BBVA