Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Delegado de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) incorpora como novedad en su Sección 4ª (artículos 37, 38 y 39) la figura del Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés Data Protection Officer).

El RGPD crea la figura del DPD en el nuevo marco de cumplimiento basado en la responsabilidad proactiva, si bien no la define.

Podemos encontrar una definición de DPD en el documento relativo a la evaluación de impacto de la Comisión Europea sobre la propuesta de Reglamento que define al DPD como: «Persona responsable en el seno de un responsable del tratamiento o encargado del tratamiento de supervisar y monitorear de modo independiente la aplicación interna y el respeto de las normas de protección de datos».

El artículo 37 apartado 1 del RGPD dispone que los responsables y los encargados del tratamiento designarán un DPD en los siguientes casos:

  1. Cuando el tratamiento lo lleve a cabo una autoridad pública u organismo público, por ejemplo: ayuntamientos, diputaciones provinciales, comunidades autónomas, etc. excepto los tribunales que actúen en ejercicio de su función judicial.
  2. Cuando las actividades principales del responsable o del encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala en atención a la naturaleza, alcance y fines del tratamiento, por ejemplo: empresas de marketing digital, agencias de Big Data, etc.
  3. Cuando las actividades principales del responsable o del encargado del tratamiento consistan en operaciones a gran escala de categorías especiales de datos personales, que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos o biométricos dirigidos a identificar de manera unívoca a una  persona física, datos relativos a la salud o vida sexual y orientación sexual de una persona, o datos relativos a condenas e infracciones penales o medidas de seguridad conexas. Por ejemplo, sociedades sanitarias, agrupaciones religiosas, sindicales, políticas, etc. También se incluyen las actividades de tratamiento de datos a gran escala de menores y de localización. 

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) prevé en su artículo 34 apartado 1 una serie de casos en los que la designación de un DPD es obligatoria. A saber:

  • Colegios profesionales.
  • Centros docentes que ofrezcan enseñanzas regladas y universidades.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de sus usuarios.
  • Entidades de crédito (bancos, cajas de ahorro, cooperativas de crédito y el Instituto de Crédito Oficial) y establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión.
  • Distribuidores y comercializadores de energía eléctrica y gas natural.
  • Entidades responsables de ficheros para la evaluación de la solvencia patrimonial.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. 
  • Entidades que desarrollen actividades de publicidad y prospección comercial que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios, a excepción de los profesionales de la salud que ejerzan a título individual.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales referidos a personas físicas.
  • Entidades dedicadas al juego on-line.
  • Empresas de Seguridad Privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

En las organizaciones en las que no sea obligatorio el nombramiento de un DPD puede nombrarse de forma voluntaria en virtud del principio de proactividad. 

El DPD puede ser un consultor especializado, independiente o adscrito a un despacho profesional o empresa de consultoría que desempeñe sus funciones en el marco de un contrato de prestación de servicios o puede designarse internamente. Puede ser una única persona o un órgano colegiado formado por un equipo multidisciplinar y su dedicación puede ser a tiempo completo o parcial. Un grupo empresarial podrá nombrar un único DPD si es accesible desde cada establecimiento.

El perfil debe ser el de una persona con capacidad para valorar y dirigir el comportamiento de la organización en función de sus costumbres y normas. Una buena combinación de aptitudes es la siguiente:

  • Formación y experiencia.
  • Iniciativa y proactividad.
  • Imparcialidad e independencia.
  • Integridad y ética personal.
  • Capacidad para la gestión y coordinación de equipos.
  • Resolutivo y con dotes para la negociación y la resolución de todo tipo de conflictos, ya sea con clientes, empleados o terceros que se viesen afectados por el tratamiento.

De conformidad con el RGPD, en su designación se atenderá a sus cualidades profesionales y, en particular, a sus conocimientos especializados en el Derecho y la práctica en materia de protección de datos. También, se tendrá en cuenta su capacidad para desarrollar las funciones asignadas.

El DPD no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento dada su posición en la organización, como el gerente de la empresa, el responsable del área financiera o de RR.HH. o cualquier otro puesto que implique intervenir en la determinación de dichos medios.

La designación y cese del DPD se comunicará, en el plazo máximo de diez días, a la Agencia Española de Protección de Datos (o Autoridad Catalana de Protección de Datos, Agencia Vasca de Protección de Datos o Consejo de Transparencia y Protección de Datos de Andalucía, en su caso). Además, se harán públicos sus datos de contacto en el sitio web corporativo, avisos legales, instalaciones, etc.

El responsable y el encargado del tratamiento garantizarán la independencia del DPD dentro de la organización y para ello tendrá una posición definida que le permita llevar a cabo sus funciones de manera independiente y autónoma.

El DPD tendrá, como mínimo, las siguientes funciones:

  1. Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud de la normativa de protección de datos.
  2. Supervisar el cumplimiento de la normativa y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  4. Supervisar el cumplimiento del protocolo establecido en los casos de brechas o violaciones de la seguridad.
  5. Cooperar con la autoridad de control y actuar como punto de contacto.

Estas funciones genéricas se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

  • Implantación de la política de protección de datos desde el diseño y de la privacidad por defecto.
  • Establecimiento y gestión del registro de actividades de tratamiento.
  • Identificación de las bases legales en los distintos tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Análisis de riesgo de los tratamientos realizados.
  • Realización de evaluaciones de impacto sobre la protección de datos.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable–encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que la justifiquen.
  • Establecimiento de procedimientos de gestión de violaciones o brechas de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a la autoridad de control y a los afectados.
  • Asistencia a los auditores en su labor.
  • Cualesquiera otras asignadas por el responsable o el encargado del tratamiento, siempre que no den lugar a conflictos de intereses.

Entre sus funciones cabe destacar la de mediador en la resolución extrajudicial de conflictos, lo que convierte al DPD en una figura esencial y recomendable en entidades con un elevado índice de reclamaciones y/o incidencias.

Con carácter previo a la presentación de una reclamación ante la autoridad de control, el interesado puede dirigirse al DPD de la entidad contra la que reclame. Si el interesado no logra una respuesta, la autoridad de control podrá incoar un expediente sancionador contra la entidad. 

Es importante reseñar que el DPD no resuelve la reclamación, sino que asesora al responsable del tratamiento, que es quien resuelve la reclamación, sobre la mejor solución y la más acorde con la normativa, para posteriormente trasladar la respuesta al reclamante o a la autoridad de control, en su caso.

Es importante indicar que el DPD no resuelve la reclamación, sino que asesora al responsable del tratamiento, que es quien resuelve la reclamación, sobre la mejor solución y la más acorde con la normativa para posteriormente trasladar la respuesta al reclamante o a la autoridad de control, en su caso.

El DPD rendirá cuentas directamente al más alto nivel jerárquico del responsable del tratamiento y formará parte de todos los análisis, debates o discusiones que surjan en relación al tratamiento de datos personales en el seno de la organización.

El DPD no podrá ser removido ni sancionado por desempeñar sus funciones, salvo que incurra en dolo o negligencia grave en su ejercicio. Tampoco será responsable en caso de incumplimiento de la normativa. La función el DPD de supervisar la observancia, no significa que el DPD sea responsable personalmente de cualquier caso de inobservancia. No obstante, puede darse el caso de que por dejación de funciones o por mala praxis pueda exigirse al DPD determinadas responsabilidades, incluso penales si vulnera el deber de secreto. Dicha obligación subsistirá aun después de finalizar la relación laboral o de prestación de servicios, de forma que bajo ningún concepto utilizará la información a la que haya tenido acceso durante el desempeño de sus tareas en otras empresas, despachos o entidades.

El DPD es un valor diferencial en cualquier organización, si bien su eficacia no depende solo de su formación y experiencia en materia de protección de datos, también depende del grado de conocimiento que tenga de la organización y de la confianza, independencia y poderes que le otorguen. 

ACTUALIZACIÓN

La Agencia Española de Protección de Datos ha impuesto las primeras sanciones por carecer de Delegado de Protección de Datos siendo exigible su nombramiento.

La primera multa se impuso a la empresa de seguridad privada CONSEGURIDAD S.L. y su cuantía fue de 50.000,00 € por infracción grave del artículo 37 del RGPD con agravante en atención al número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene (artículo 83.2 a), y porque se encuentran afectados identificadores personales básicos (artículo 83.2 g). Les dejo enlazada la resolución de la AEPD:

https://www.aepd.es/es/documento/ps-00251-2020.pdf

La segunda multa se impuso a la empresa GLOVOAPP23, S.L. y su cuantía fue de 25.000,00 € por la misma causa con agravante que en el caso anterior. La diferencia estriba en que antes de la resolución del expediente sancionador se nombró un DPD. Les dejo también un enlace a la resolución de la AEPD:

https://www.aepd.es/es/documento/ps-00417-2019.pdf

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual