La figura del Delegado de Protección de Datos, según el Reglamento 2016/679 de la UE

-

Analizamos la primera de las tres directrices que el Grupo de Trabajo del Artículo 29 ha publicado recientemente, relativa a la figura del Delegado de Protección de Datos, en el marco del Reglamento (UE) 2016/679.

1. Introducción

Una de las principales novedades contenidas en el Reglamento General de Protección de Datos (“RGPD”) es la obligación para determinadas entidades de designar un Delegado de Protección de Datos (“DPO”, por sus siglas en inglés).

En la definición de algunos aspectos clave del DPO, como por ejemplo los supuestos en que las entidades deberán proceder a su nombramiento, su posición dentro de la entidad o las funciones que tiene encomendadas, el RGPD utiliza algunos conceptos jurídicos indeterminados que han suscitado algunos interrogantes a la hora de implementar esta nueva figura.

Con este objetivo, el órgano consultivo europeo en materia de protección de datos, el Grupo de Trabajo del Artículo 29 (“GT29”), ha publicado recientemente unas Directrices cuyas principales conclusiones hemos recogido en el presente Breves.

2. Designación del Delegado

El GT29 determina que corresponderá al derecho nacional de cada estado miembro definir qué entidades quedan incluidas dentro de la categoría de Autoridad u Organismo Público.  Asimismo, recomienda a las entidades privadas adjudicatarias de contratos del Sector Público con acceso a datos personales la designación de un DPO.

De la misma manera, aclara que el concepto relativo a las actividades principales de las entidades hace referencia exclusivamente a aquellas actividades que se consideran primarias, como por ejemplo el tratamiento de datos relativos a la salud por un Hospital o la videovigilancia realizada por una empresa de seguridad, que deberán nombrar un DPO.

Por otro lado, no considera “actividad principal” la gestión de las nóminas de los empleados o los servicios del departamento de IT, sino actividades complementarias a la actividad principal desarrollada por la entidad.

La monitorización de los hábitos de navegación, la utilización de un sistema de geolocalización, el tratamiento de los datos de clientes realizado por entidades del sector financiero o del tráfico de redes de comunicaciones por los proveedores de servicios de internet, constituyen ejemplos de tratamientos realizados “a gran escala”.

El concepto de observación habitual y sistemática de los interesados no se debe limitar a entornos “online”, de suerte tal que también afectaría a los tratamientos de “scoring” para la toma de decisiones de operaciones crediticias o la determinación del riesgo asegurador de un cliente, la utilización de soluciones de conectividad, p.e. la tecnología de medición inteligente en el sector energético o los tratamientos de información personal a través de “Smart cars” en el sector automoción, así como el desarrollo de Aplicaciones móviles que incluyan geolocalización o programas de fidelización a través de páginas web, siendo obligatorio para las entidades que realizan este tipo de actividades la designación de un DPO.

Las entidades deberán designar un DPO siempre que realicen  un tratamiento de categorías especiales de datos, o bien relativos a condenas o infracciones penales.

En los supuestos en los que se designe un DPO para un mismo grupo empresarial o para varias autoridades y organismos públicos, resultará fundamental la publicación y comunicación de sus datos de contacto a los afectados y a las autoridades de control. En estos supuestos, las entidades deberán realizar un análisis previo de la estructura organizativa y tamaño del grupo de empresas o autoridades y organismos públicos, a fin de garantizar que el DPO resulta fácilmente accesible desde cualquier emplazamiento.

Las entidades deberán definir el perfil profesional de su DPO en función de la complejidad de los tratamientos que realicen. En este sentido, siempre que se traten datos considerados especialmente protegidos, el DPO deberá tener el máximo conocimiento de la normativa  de protección de datos y disponer de mayor apoyo dentro de la entidad para desempeñar sus funciones.

Las entidades deberán realizar un análisis previo para determinar si deben designar o no un DPO, y conservar una evidencia de dicha evaluación, que deberá estar a disposición de las autoridades competentes, que determinarán si se han tenido en cuenta todos los aspectos contenidos en el RGPD.

3. Posición

Las entidades deberán elaborar directrices internas que establezcan la necesaria participación del DPO en todos los proyectos en los que se realice un tratamiento de información personal, así como garantizar que dicha participación se produce en la práctica.

La actividad del DPO deberá estar respaldada por la Gerencia de la entidad, que deberá facilitarle el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios.

Asimismo, la entidad deberá facilitarle una formación continua en protección de datos, así como garantizar que dispone del tiempo necesario para realizar las funciones que el RGPD le atribuye.

Se enumeran una serie de cargos dentro de la entidad que son incompatibles con la función de DPO, como por ejemplo: Director Financiero, Responsable de Operaciones, Jefe de Servicio Médico, Director del Departamento de Marketing o Director de Recursos Humanos.

Las entidades no deberán condicionar la manera en que el DPO interpreta el RGPD o investiga una denuncia, así como si debe realizar o no una consulta a la Autoridad de protección de datos sobre un determinado asunto.

4. Funciones 

Son obligaciones del DPO la identificación de las operaciones de tratamiento realizadas por la entidad, verificar el cumplimiento del RGPD en dichas operaciones de tratamiento y proponer las medidas necesarias para garantizar su cumplimiento.

Las entidades serán directamente responsables ante un incumplimiento del RGPD, sin que exista, en ningún caso, una responsabilidad personal del DPO

5. El Delegado en las Evaluaciones de Impacto en la Privacidad (PIA)

Se recomienda a las entidades consultar al DPO, entre otras, en las siguientes cuestiones:

  • determinar en qué supuestos se debe realizar un PIA;
  • la metodología y herramientas para llevar a cabo el PIA.
  • cuándo realizar el PIA de manera interno o externalizarlo;
  • las medidas que se pueden o deben adoptar para eliminar, mitigar o transferir los riesgos detectados en el PIA;
  • analizar si el PIA se ha realizado correctamente y la validez de las medidas correctoras propuestas.

6. El enfoque de riesgos

De conformidad con los criterios del GT29, el DPO deberá priorizar la implementación de la medidas necesarias para garantizar un cumplimiento del RGPD en aquellas operaciones de tratamiento que, en función de la evaluación de riesgos realizada, impliquen un riesgo alto para la entidad.

7. El Delegado el registro de las actividades de tratamiento

Aunque esta función no se encuentra expresamente recogida en las funciones del DPO, el GT29 considera que la descripción e inventario de las actividades de tratamiento de una entidad constituye una de las herramientas fundamentales con las que cuenta el DPO para poder desarrollar las tareas y funciones encomendadas por el RGPD.