LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 07:36:58

LegalToday

Por y para profesionales del Derecho

¿Debo ir pensando en contratar a un DPO o Delegado en Protección de Datos?

Un muñequito con un candado

Mucho se ha hablado sobre esta figura desde que el 25 de enero de 2012 la Comisión Europea presentara su Propuesta de Reglamento General de Protección de Datos, e incluso yo mismo en este medio reflexionaba sobre la misma.

La tramitación legislativa del RGPD ha sido compleja, complicada y con continuos retrasos en las votaciones.  Debido a eso, los que hemos asistido como observadores a su tramitación legislativa hemos dudado en más de una ocasión que saliera adelante, o que de hacerlo fuera en unos términos que rebajaran considerablemente los estándares de protección logrados por la desactualizada Directiva 95/46/CE.

Esta figura no ha quedado ajena a estas tensiones, como lo demuestra que en la versión de trabajo que manejaba el Parlamento Europeo era de carácter obligatorio en determinados supuestos y en la versión que manejaba el Consejo de la Unión Europea era de carácter optativo.

Las negociaciones o trílogos entre las tres Instituciones (Comisión, Consejo y Parlamento)  concluyeron con un texto de compromiso el 15 de diciembre de 2015 y se espera la aprobación final para marzo o abril de este año. Su entrada en vigor se producirá dos años después según recoge la futura normativa. Tomando como base ese texto de compromiso al que ha tenido acceso la organización sin ánimo de lucro Statewatch, procederemos a analizar esta figura con las debidas cautelas.

Contar con un Data Protection Officer será obligatorio para responsables y encargados de tratamiento (esperemos que la traducción final en castellano opte por la literalidad denominándolos controladores y procesadores de datos) en los siguientes casos, de acuerdo con el artículo 35 del futuro Reglamento General de Protección de Datos:

  • Cuando se trate de Administraciones Públicas con excepción de los juzgados y tribunales en el ejercicio de su actividad jurisdiccional.
  • Cuando el objeto de negocio del controlador o procesador de datos se basen en actividades de tratamiento que en virtud de su naturaleza ámbito y / o finalidad requieren operaciones regulares y sistemáticas de monitorización a gran escala de los titulares de los datos. Quedarían integradas en esta categoría los tratamientos basados en tecnologías de Big Data, Internet de las Cosas (IoT), segmentación de mercados o profiling, solvencia y riesgos financieros y vigilancia masiva (cámaras, drones, etc). Inclusive determinadas prácticas de monitorización y control laboral podrían quedar incluidas.
  • Cuando las actividades principales del controlador o procesador consistan en el tratamiento a gran escala de datos de sanciones penales o de las categorías consideradas como especiales en el artículo 9 (salud, genéticos, biométricos, origen racial o étnico, opinión política, religión o creencias filosóficas, pertenencia a sindicatos, vida y orientación sexual). Quedarían a priori excluidas aquellas actividades en las que la actividad principal no consista en esos tratamientos (descuento de cuota obrera, embargos judiciales de nómina, etc), aunque otras como las del servicio médico de empresa propio, aun no consistiendo en una actividad principal, está por ver si necesitarán o no, a un DPO.

Se podrá nombrar a un único Data Protection Officer para un conjunto de Administraciones Públicas u Organismos. El nombramiento podrá ser de carácter interno (contratado laboralmente) o externo mediante contrato de prestación de servicios. Los datos de contacto una vez nombrado deberán ser publicados y comunicados a la Autoridad de Control, en nuestro caso Agencia Española de Protección de Datos y para Administraciones Públicas, la autonómica donde exista.

Por su parte el artículo 36 detalla su posición o role. Deberá ser puntualmente informado tanto por el procesador o el controlador de todos los asuntos relacionados con la protección de datos personales. Deberán proveerle de recursos suficientes para el desempeño de sus funciones y cometidos, y los titulares de los datos podrán ponerse en contacto directamente con él para cuestiones relacionadas con sus derechos o con el tratamiento de sus datos.

Como se pretende garantizar su independencia, se establece que no podrá recibir directamente instrucciones sobre el desarrollo de sus funciones, no pudiendo ser despedido o sancionado por desarrollar sus funciones. Reportará directamente al más alto nivel de dirección del controlador o procesador, lo que plantea algunas dudas como por ejemplo si en una entidad privada debe ser ante el Comité de Dirección o Consejo de Administración. Se le reconoce un deber de secreto sobre las informaciones de las que tenga conocimiento en el ejercicio de sus funciones y para evitar que incurra en incompatibilidades, se establece la necesidad de comprobación por parte del controlador o procesador de los datos sobre la existencia o inexistencia de las mismas.

Pero sin duda la cuestión transcendental es la capacitación profesional del Data Protection Officer para el desempeño de sus funciones. Estas se encuentran previstas en el artículo 37 y consisten en informar y asesorar al procesador o controlador y a sus empleados sobre sus obligaciones derivadas de esta regulación y de otras disposiciones de la Unión Europea o de sus Estados Miembros, supervisar el cumplimiento normativo con esta regulación y con otras disposiciones de la Unión Europea o sus Estados Miembros en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, concienciación y formación del personal que maneja datos personales, las auditorias, advertir cuando es preceptiva la realización de una Evaluación de Impacto en Privacidad, contactar y actuar conjuntamente con la autoridad de control incluyendo los casos en los que es preceptiva la consulta previa.

Comentábamos que era una cuestión transcendental la capacitación del DPO puesto que el artículo 35 dispone que será nombrado en base a su experto conocimiento del derecho y la práctica en protección de datos y su habilidad para desarrollar las funciones encomendadas por el artículo 37 que hemos visto en el párrafo anterior. Queda claro que no basta sólo con los conocimientos teóricos, sino que  el DPO debe contar también con experiencia.

Se abre por ello un interesante panorama ya que esta profesión de algún modo debería quedar regulada o autorregulada. Los Cursos especializados, Programas de Postgrado y Máster o incluso Estudios de Grado por sí solos no serán suficientes puesto que no cumplirían con el requisito de la experiencia práctica porque en este supuesto no se solucionaría con una serie de horas de prácticas o becas en empresas o en Administraciones Públicas. Además, las referencias dentro de sus funciones al derecho de la Unión Europea o sus Estados Miembros, con multitud de documento en otros idiomas y sobre todo en inglés, recomiendan tener en cuenta esta aptitud a la hora de seleccionar al profesional. Las diferentes certificaciones profesionales que están en el mercado, de homologarse o reconocerse oficialmente, serían un instrumento útil puesto que combinan formación y experiencia. Incluso podría establecerse algún tipo de homologación profesional de carácter público, por medio de examen y méritos (formación y experiencia) y que tras su superación se emitiera algo parecido a los certificados de profesionalidad. Igualmente no deberían limitarse a aportar experiencia profesional a través de certificados de empresa, sino que esta debería ser demostrada mediante la presentación de proyectos realizados, artículos o trabajos de investigación publicados, seminarios, cursos o conferencias impartidas, etc.

Debe tenerse en cuenta que en la nueva normativa regirá el principio de la privacidad desde el diseño o privacy by design, según el cual la privacidad debe estar presente en todo el ciclo de vida del dato, desde su obtención hasta su destrucción. Ello nos obligará a tomar decisiones caso por caso y no cumplir como hasta ahora con una serie de preceptos predeterminados, cerrados y taxativos, lo que unido a otro nuevo principio denominado accountability, en virtud del cual debemos ser capaces de demostrar que se ha cumplido con lo establecido en el Reglamento General de Protección de Datos, puede ocasionar supuestos de responsabilidad si no se ha elegido bien al DPO.

De nada valdrá intentar descargar la responsabilidad en este profesional, puesto que como hemos comentado, es el procesador o el controlador de datos el que tiene que nombrarlo en base a su experto conocimiento del derecho y la práctica en protección de datos y su habilidad para desarrollar las funciones encomendadas por el artículo 37. En mi opinión, el mero hecho de no verificar estos extremos, no valorarlos correctamente o ignorarlos, generará responsabilidad tanto por la mala elección del profesional como por los incumplimientos legales que su falta de expertise pudieran causar.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.