Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Delegado de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) incorpora como novedad en su Sección IV en los artículos 37, 38 y 39 la figura del Delegado de Protección de Datos (DPD) o Data Protection Officer (DPD).

El RGPD crea la figura del DPD en el marco de cumplimiento basado en el principio de responsabilidad proactiva, si bien no la define.

Podemos encontrar una definición de DPD en el documento relativo a la evaluación de impacto de la Comisión Europea sobre la propuesta de Reglamento que define al DPD como: «Persona responsable en el seno de un responsable del tratamiento o encargado del tratamiento de supervisar y monitorear de modo independiente la aplicación interna y el respeto de las normas de protección de datos».

El artículo 37 apartado 1 del RGPD dispone que los responsables y los encargados del tratamiento designarán un DPD en los siguientes casos:

  1. Cuando el tratamiento lo lleve a cabo una autoridad pública u organismo público, por ejemplo: ayuntamientos, diputaciones provinciales, comunidades autónomas, etc. excepto los tribunales que actúen en ejercicio de su función judicial.
  2. Cuando las actividades principales del responsable o el encargado del tratamiento consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala en atención a la naturaleza, alcance y fines del tratamiento, por ejemplo: agencias de Big Data, empresas de marketing digital, etc.
  3. Cuando las actividades principales del responsable o el encargado del tratamiento consistan en operaciones a gran escala de categorías especiales de datos personales (por ejemplo, centros sanitarios, agrupaciones religiosas, sindicales, políticas, etc.). También se incluyen las actividades de tratamiento de datos relativas a condenas e infracciones penales. 

El Grupo de Trabajo sobre la protección de datos del Artículo 29, en sus Directrices sobre los Delegados de Protección de Datos esclareció sobre esta cláusula que la observación habitual y sistemática será continuada, recurrente, constante o periódica de acuerdo con un sistema preestablecido u organizado. Asimismo, para considerar un tratamiento a gran escala se tendrá en cuenta: 

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
  • La duración, o permanencia, de la actividad de tratamiento de datos.
  • El alcance geográfico de la actividad de tratamiento.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) prevé en su artículo 34 apartado 1 una serie de casos en los que la designación de un DPD es obligatoria:

  • Colegios profesionales.
  • Centros docentes que ofrezcan enseñanzas regladas y universidades.
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de sus usuarios.
  • Entidades de crédito (bancos, cajas de ahorro, cooperativas de crédito y el Instituto de Crédito Oficial) y establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión.
  • Distribuidores y comercializadores de energía eléctrica y gas natural.
  • Entidades responsables de ficheros para la evaluación de la solvencia patrimonial.
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. 
  • Entidades que desarrollen actividades de publicidad y prospección comercial que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios, a excepción de los profesionales de la salud que ejerzan a título individual.
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales referidos a personas físicas.
  • Entidades dedicadas al juego on-line.
  • Empresas de Seguridad Privada.
  • Federaciones deportivas cuando traten datos de menores de edad.

En las organizaciones en las que no sea obligatorio el nombramiento de un DPD puede nombrarse de forma voluntaria en virtud del principio de proactividad. 

El DPD puede ser un consultor especializado, independiente o adscrito a un despacho profesional o empresa de consultoría que desempeñe sus funciones en el marco de un contrato de prestación de servicios o puede designarse internamente. Puede ser una única persona o un órgano colegiado formado por un equipo multidisciplinar y su dedicación puede ser a tiempo completo o parcial. Un grupo empresarial podrá nombrar un único DPD si es accesible desde cada establecimiento.

El perfil debe ser el de una persona con capacidad para valorar y dirigir el comportamiento de la organización en función de sus costumbres y normas. Una buena combinación de aptitudes es la siguiente:

  • Formación y experiencia.
  • Iniciativa y proactividad.
  • Imparcialidad e independencia.
  • Integridad y ética personal.
  • Capacidad para la gestión y coordinación de equipos.
  • Resolutivo y con dotes para la negociación y la resolución de todo tipo de conflictos, ya sea con clientes, empleados o terceros que se viesen afectados por el tratamiento.

De conformidad con el RGPD, en su designación se atenderá a sus cualidades profesionales y, en particular, a sus conocimientos especializados en el Derecho y la práctica en materia de protección de datos. También, se tendrá en cuenta su capacidad para desarrollar las funciones asignadas. En orden a una mejor interpretación de dichas exigencias podemos acudir a las Directrices sobre los Delegados de Protección de Datos del Grupo del Artículo 29.

A fin de acreditar la aptitud del DPD, la AEPD estableció un Esquema de Certificación de Protección de Datos (Esquema AEPD-DPD) bajo el cual la Entidad Nacional de Acreditación (ENAC) puede acreditar a Entidades de Certificación que, a su vez, estarán autorizadas a emitir una certificación sobre aptitud en base a criterios desarrollados por la AEPD y un examen formal. Dicha certificación no es requisito para ejercer como DPD, tan solo acredita la capacidad y aptitud de la persona para ejercer el cargo. 

El DPD no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento dada su posición en la organización (tales como director general, director de operaciones, director financiero, responsable del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI y cualquier otro puesto que implique intervenir en la determinación de dichos medios).

La designación y cese del DPD se comunicará, en el plazo máximo de diez días, a la Agencia Española de Protección de Datos (o Autoridad Catalana de Protección de Datos, Agencia Vasca de Protección de Datos o Consejo de Transparencia y Protección de Datos de Andalucía, en su caso). Además, se harán públicos sus datos de contacto en el sitio web corporativo, avisos legales, instalaciones, etc.

El responsable y el encargado del tratamiento garantizarán la independencia del DPD dentro de la organización y para ello tendrá una posición definida que le permita llevar a cabo sus funciones de manera independiente y autónoma. También se le dotará de recursos financieros, infraestructuras y personal, según se requiera.

El DPD tendrá, como mínimo, las siguientes funciones:

  1. Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud de la normativa de protección de datos.
  2. Supervisar el cumplimiento de la normativa y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto en los casos de tratamientos del alto riesgo y supervisar su aplicación.
  4. Supervisar el cumplimiento del protocolo establecido en los casos de brechas o violaciones de la seguridad.
  5. Cooperar con la autoridad de control y actuar como punto de contacto.

Estas funciones genéricas se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

  • Implantación de la política de protección de datos desde el diseño y de la privacidad por defecto.
  • Establecimiento y gestión del registro de actividades de tratamiento.
  • Identificación de las bases legales en los distintos tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Análisis de riesgo de los tratamientos realizados.
  • Asesoramiento al responsable del tratamiento en la realización de evaluaciones de impacto sobre la protección de datos.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Asesoramiento para la selección de encargados del tratamiento con garantías suficientes, incluido el contenido de los contratos de encargo de tratamiento.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que la justifiquen.
  • Establecimiento de procedimientos de gestión de violaciones o brechas de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a la autoridad de control y a los afectados.
  • Asistencia a los auditores en su labor.
  • Cualesquiera otras asignadas por el responsable o el encargado del tratamiento, siempre que no den lugar a conflictos de intereses.

Entre sus funciones cabe destacar la de mediador en la resolución extrajudicial de conflictos, lo que convierte al DPD en una figura esencial y recomendable en entidades con un elevado índice de reclamaciones y/o incidencias.

Con carácter previo a la presentación de una reclamación ante la autoridad de control, el interesado podrá dirigirse al DPD de la entidad contra la que reclame. Si el interesado no logra una respuesta en el plazo de un mes (prorrogable otro mes en atención a la complejidad y número de solicitudes) la autoridad de control podrá incoar un expediente sancionador contra la entidad. Si la reclamación fuese remitida al DPD por la autoridad de control, esta suele remitirla al DPD para que responda en el plazo máximo de un mes. 

Es importante indicar que el DPD no resuelve las reclamaciones, sino que asesora al responsable del tratamiento, que es quien las resuelve, sobre la mejor solución y más acorde con la normativa para posteriormente trasladar la respuesta al reclamante o a la autoridad de control, en su caso.

El DPD rendirá cuentas directamente al más alto nivel jerárquico del responsable del tratamiento y formará parte de todos los análisis, debates o discusiones que surjan en relación al tratamiento de datos personales en el seno de la organización.

El DPD debe cumplir escrupulosamente el Código Ético (aquí un ejemplo) y no podrá ser removido de su cargo ni sancionado por desempeñar sus funciones, salvo que incurra en dolo o negligencia grave en su ejercicio.

La función de supervisar la observancia, no significa que el DPD sea responsable personalmente de cualquier caso de inobservancia. No obstante, puede darse el caso de que por dejación de funciones o por mala praxis pueda exigirse al DPD determinadas responsabilidades, incluso penales si vulnera el deber de confidencialidad. Dicha obligación subsistirá aun después de finalizar la relación laboral o de prestación de servicios, de forma que bajo ningún concepto utilizará la información a la que haya tenido acceso durante el desempeño de sus tareas en otras empresas, despachos o entidades.

En cuanto al régimen sancionador aplicable en la designación del DPD cabe mencionar lo siguiente:

  • Se considera infracción grave, con prescripción a los dos años, el incumplimiento de la obligación de designar un DPD [art. 73 v) de la LOPDGDD].
  • Se considera infracción grave, con prescripción a los dos años, no posibilitar la participación del DPD en las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones [art. 73 w) de la LOPDGDD].
  • Se considera infracción leve, con prescripción de un año, no publicar los datos de contacto del DPD o no comunicarlos a la autoridad competente cuando su nombramiento fuera obligatorio [art. 74 p) de la LOPDGDD].

El DPD es un valor diferencial en cualquier organización, si bien su eficacia no depende solo de su formación y experiencia en materia de protección de datos, también depende del grado de conocimiento que tenga de la organización y de la confianza, independencia y poderes que le otorguen. 

Pueden encontrar más información sobre la figura del Delegado de Protección de Datos:

ACTUALIZACIÓN

La Agencia Española de Protección de Datos ha impuesto las primeras sanciones por carecer de DPD siendo exigible su nombramiento.

La primera multa se impuso a la empresa de seguridad privada CONSEGURIDAD, S.L. y su cuantía fue de 50.000,00 € por infracción grave del artículo 37 del RGPD con agravante en atención al número de interesados afectados, pues la empresa realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene (artículo 83.2 a) y porque se encuentran afectados identificadores personales básicos (artículo 83.2 g). Les dejo enlazada aquí la resolución de la AEPD.

La segunda multa se impuso a la empresa GLOVOAPP23, S.L. y su cuantía fue de 25.000,00 € por la misma causa con agravante que en el caso anterior. La diferencia estriba en que antes de la resolución del expediente sancionador se nombró un DPD. Les dejo enlazada aquí a la resolución de la AEPD.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).