El riesgo de vulneración del derecho de protección de datos de carácter personal de las personas físicas, a nivel mundial, es cada vez mayor. Por ello, la Unión Europea aboga por ampliar el espectro de los mecanismos para la protección de ese derecho fundamental.
La debatida propuesta de nuevo Reglamento Europeo de Protección de Datos, sobre la que emitió Informe la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) el pasado 21 de octubre de 2013 y cuya aprobación está potencialmente prevista para 2015, hace especial atención a la figura del Data Protección Officer o Delegado de Protección de Datos.
Esta figura ya se utiliza en algunos Estados Miembros ya que la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, dotaba a los Estados Miembros de la libre discrecionalidad para elegir si imponían la existencia de un Delegado de Protección de Datos (en adelante, "DPO") o, por el contrario, lo regulaban como una figura opcional.
Con la previsión del nuevo Reglamento, el DPO se convierte ahora en un actor esencial para garantizar y proteger la privacidad y seguridad de los datos de carácter personal de los que son responsables las empresas. Sin embargo, todavía es una figura en construcción cuyos detalles no están completamente definidos.
En las versiones anteriores de la propuesta de Reglamento se exigía que el DPO fuera obligatoriamente designado cuando el responsable de tratamiento de datos fuera autoridad u organismo público en todo caso y en el supuesto de entidades privadas cuando estas tuvieran al menos 250 empleados o cuando sus actividades consistieran en tratamiento de datos que requiriera un seguimiento de los interesados.
De acuerdo con la última versión del texto del futuro Reglamento, el criterio para designar el DPO ha cambiado radicalmente y este deberá designarse cuando el tratamiento de los datos sea llevado a cabo por una autoridad u organismo público y cuando en el marco de una empresa privada afecte a más de 5.000 interesados en un periodo de 12 meses.
Asimismo, se añade la obligación de designar un DPO cuando las actividades del responsable o del encargado consistan en el tratamiento de categorías de datos sensibles; tales como raza, sexo, salud, origen étnico, opiniones políticas, etc; y en el tratamiento de datos de localización, de menores y de empleados a gran escala.
El DPO deberá ser un profesional que actué con independencia, deberá tener un amplio conocimiento de la materia y de la aplicación de su normativa, y un dominio de los requisitos técnicos para la protección de datos.
El DPO podrá ser empleado del responsable de tratamiento que será designado por un periodo mínimo de cuatro años o profesional externo por un periodo mínimo de dos años con posibilidad de que pueda ser nombrado nuevamente y podrá desempeñar sus funciones a tiempo completo o parcial.
Su nombramiento debe comunicarse a la autoridad en materia de protección de datos (en nuestro caso a la Agencia Española de Protección de Datos) y comunicarlo al público en general básicamente a través de la cláusula de información puesta a disposición de los interesados en el momento de recabar sus datos.
En cuanto a las funciones del DPO, éste deberá desempeñarlas bajo los principios de control, rendición de cuentas y diligencia debida, velando por la aplicación interna y el cumplimiento de las disposiciones. En concreto, el DPO deberá garantizar que, tanto los responsables del tratamiento de datos, como los interesados, sean informados de sus derechos y obligaciones bajo la normativa europea de protección de datos. Asimismo, tiene el deber de información y colaboración con la autoridad en materia de protección de datos cuando sea requerido o por iniciativa propia.
Por otra parte, llevará el registro de las operaciones de tratamiento que hayan sido realizadas por el responsable del tratamiento y, notificará a la autoridad supervisora las operaciones que pudiesen presentar riesgos en materia de protección de datos de carácter personal.
Destacan asimismo las funciones de consulta que se le otorgan al DPO, en particular, la necesaria consulta antes de la fase de diseño, contratación, desarrollo y lanzamiento de sistemas para el tratamiento automatizado de datos personales, y la consulta cuando la evaluación de impacto de datos arroje un riesgo elevado. Estas funciones lo convierten en el máximo garante de la privacidad y seguridad de los datos de carácter personal de cada entidad.
Sin lugar a dudas, e independientemente de que su nombramiento sea obligado o voluntario, la figura del DPO como experto en privacidad desde el punto de vista legal y de medidas de seguridad, (i) colaborará en la generación de trasparencia en el tratamiento de datos (ii) transmitirá a la organización empresarial una cultura de protección de datos y sobre todo (ii) mejorará sensiblemente en el nivel de confianza de las personas físicas sobre el respecto de su derecho a la protección de datos.
