11 Nov 2018

El Delegado de Protección de Datos

por | publicado en: Compliance, Diligencia, RGPD | 0

Noviembre 2018 – Tiempo de lectura, 10 minutos

La figura del Delegado de Protección de Datos (DPD, DPO) está diseñada para potenciar el cumplimiento de un entorno normativo complejo (el RGPD y las leyes nacionales derivadas), mediante su doble papel asesor y supervisor. Además, el DPD es punto de contacto entre su organización y la Autoridad de Control

El artículo explora las características del DPD y su rol catalizador para conseguir los objetivos últimos del RGPD: proteger a las personas y promover una cultura de la privacidad

El Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés, Data Protection Officer) es una figura aparentemente nueva en el RGPD. El DPD es un experto en la materia que asesora al responsable o encargado que lo contratan (como empleado a tiempo total o parcial, o como externo) para asegurar y supervisar el cumplimiento del RGPD. El DPD carece de responsabilidad sobre ese cumplimiento, que se mantiene en la esfera del responsable de tratamiento1

Antecedentes

La anterior Directiva 95/46 de protección de datos personales ya establecía la figura del encargado de protección de datos2que algunos países implementaron, aunque no España. Y esa figura es, justamente, el DPD de hoy en el Reglamento 2016/679.

Hay diversos antecedentes de implementación efectiva de la figura del DPD. Por ejemplo, en las instituciones y organismos de la Unión Europea, 2001.

Obligatoriedad

El RGPD establece obligatoriedad de nombrar DPD en tres casos3:

  • Autoridad u organismo público (excepto los tribunales)
  • Observación habitual y sistemática de interesados a gran escala
  • Tratamiento de categorías especiales de datos a gran escala

La nueva LOPD (aprobada y de inminente publicación en el BOE) añade 16 supuestos en los que el DPD será obligatorio en España4. Están listados al final de este artículo.

Siendo el objetivo del RGPD la protección de los derechos y libertades de las personas físicas en lo que respecta a sus datos personales, se puede deducir que el DPD está diseñado para escenarios donde hay volumen o complejidad (en los propios datos o en las operaciones con ellos). Análogamente, las pymes, en especial si desarrollan su actividad con clientes empresariales (B2B) tratan un bajo volumen de datos personales y con escasa complejidad. De lo cual se deriva la no necesidad de disponer de un DPD preceptivo.

Funciones del DPD

El artículo 39 señala las funciones mínimas del DPD

  • Asesorar e informar al Responsable o Encargado de tratamiento y a sus empleados, de las obligaciones que les incumben en la materia
  • Supervisar el cumplimiento, incluyendo la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes
  • Asesorar en el desarrollo de las Evaluaciones de Impacto5 que deban acometerse
  • Cooperar con la Autoridad de Control, y actuar como punto de contacto entre ésta y el Responsable o el Encargado

El DPD, por tanto, asesora y supervisa, pero no ejecuta

La Autoridad de Control

La Autoridad de Control es, para el sector privado, la Agencia Española de Protección de Datos (AEPD).

Para el sector público, tres Comunidades Autónomas (Andalucía, País Vasco y Cataluña) cuentan con Autoridad de Control propia. En las demás autonomías, es competente también la AEPD.

Posición del DPD

El artículo 38 lista las garantías y deberes del DPD y, por extensión, de la empresa o institución que lo contrata.

  • Participar en todas las cuestiones relativas a la protección de datos personales
  • Disponer de los recursos necesarios
  • No recibir ninguna instrucción en lo que respecta al desempeño de sus funciones.
  • No ser destituido ni sancionado6 por desempeñar sus funciones
  • Rendir cuentas al más alto nivel jerárquico
  • Ser primer punto de contacto de los interesados (ejercicio de derechos, cuestiones relativos a sus datos personales y ejercicio de derechos respecto de éstos)
  • En caso de desempeñar otras funciones, ausencia de conflicto de intereses

Como todas las personas, físicas o jurídicas, que estén en contacto con datos personales, están obligadas a guardar confidencialidad.

De la independencia en el ejercicio de sus funciones es razonablemente derivable el deber de informar a la Autoridad de Control si el DPD aprecia irregularidades no subsanadas.

El DPD interno. Régimen laboral

La no destitución de los DPO internos plantea un problema en el Estatuto de los Trabajadores, que sólo contempla algo similar en el caso de los representantes legales de los trabajadores. Así, un despido injustificado (la carga de la prueba recaería en la empresa) pudiera desembocar en nulidad y readmisión (con abono de los salarios dejados de percibir). Pero de lo anterior se podría entender el cargo de DPD a perpetuidad, lo cual lesiona el poder de dirección del empresario (Estatuto artículo 20). Por otra parte, la improcedencia del despido no se correspondería con la expectativa de que el DPD sólo puede ser destituido por dolo o negligencia grave7.

La independencia de funciones y la rendición de cuentas al más alto nivel jerárquico sugiere un rol asumible por una corporación o gran empresa, pero no por una pyme, que recurrirán con toda probabilidad a servicios externos, ya de forma individual o colectiva. Sin duda, una situación que acarrea complejidad operativa, pero que no priva a las pymes de disponer de un DPD, más aún con la previsión de las asociaciones de responsables o encargados.

La previsión de no recibir instrucciones, siendo un empleado, choca con el Estatuto en su artículo 5.c, donde establece el deber de cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

La relación laboral del DPD deberá basarse, por tanto, como en el caso de la alta dirección, en la confianza.

Cabe, pues, un desarrollo específico para el rol del DPD en la legislación laboral.

Contrasta lo anterior con la condición de los DPD externos, que no tendrán la posibilidad de aplicar medida alguna más allá de las contractuales para prevenir terminaciones por voluntad de la empresa o institución que los contrata.

Ventajas para el responsable o encargado

Aparte de la ventaja inmediata de disponer del conocimiento del DPD, la normativa prevé una situación ventajosa: la nueva LOPD 2018, si llega el caso de un procedimiento sancionador, incluye en los criterios de graduación (atenuantes) la existencia de un DPD cuando no había obligación legal de nombrarlo.

Selección y registro del DPD

El DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

El nombramiento de DPD debe comunicarse a la Autoridad de Control competente, sean obligatorios o voluntarios, que los incluirá en un registro8, el cual determina la condición legal de DPD.

La Agencia Española de Protección de Datos ha iniciado en 2018 un esquema de certificación de DPD (con tres años de vigencia), si bien no hay obligación legal de contratar DPD que posean tal certificación.

Asociaciones y DPD

El RGPD señala el papel relevante que las asociaciones empresariales (o de cualquier índole) deben adquirir para promover acciones colectivas de cumplimiento y una adecuada difusión de la cultura de la privacidad en los agentes económicos y sociales.

Ello fomentará, sin duda, nuevos servicios en los que el DPD asumirá un papel importante: códigos de conducta, evaluaciones de impacto, y el propio rol de asesoramiento y supervisión.

Citas

RGPD art 24.1

Directiva 95/46 considerando 54 y artículos 18.2 y 20.2

3 RGPD art 37.1

4 LOPD 2018 art 34

Directiva 95/46 considerando 54 y artículos 18.2 y 20.2

RGPD art 35

RGPD art 38 y LOPD 2018 art 70.2

7 LOPD 2018 art 36.2

8 LOPD 2018 art 34.4

Antonio March | amc@datium.eu
Noviembre 2018

DPD preceptivos en la LOPD 2018, artículo 34

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

Seguir Antonio March:

Últimas publicaciones de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *