El Delegado de Proteccion de Datos en el marco del RGPD

Han sido muchas las consultas realizadas sobre la figura del Delegado de Proteccion de Datos . Por esto motivo desde ACUMPLIMIENTO hemos realizado este articulo a modo de preguntas para tratar de esquematizar y aclarar las dudas más destacadas.

Todo lo que podamos escribir e interpretar sobre la figura del Delegado de Proteccion de Datos , seguramente sea correcto pero vamos a tratar de dar respuestas más oficiales a las dudas que nos habéis transmitido. Para ello, vamos a reflexionar sobre uno de los documentos más importantes relacionados con el Delegado de Protección de Datos, además del Reglamento General de Protección de Datos, el Proyecto de Ley Orgánica de Proteccion de datos y las directrices de la Agencia Española de Protección de Datos.

delegado de proteccion de datos DPO RGPD

Nos referimos a las Directrices del Grupo de Trabajo del Artículo 29 sobre el Delgado de Proteccion de Datos (w243) revisadas el 5 de abril de 2017:

1.- ¿Cuando es obligatoria la designación del Delegado de Protección de Datos (DPO / DPD)?

Conforme al artículo 37.1 del RGPD son 3 casos específicos.

  • cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los Tribunales que actúen en el ejercicio de su función judicial.
  • cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturales, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
  • cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Hasta que existan listas proporcionadas por la autoridad de control, tenemos un listado concreto en el Proyecto de Ley Orgánica que puede ayudarnos.

2.- ¿Qué conceptos debemos tener claros para saber si tenemos obligación de designar un Delegado de Proteccion de Datos según el artículo 37.1 del RGPD?.

  • Autoridad u Organismo Público: El RGPD no lo define. El W243 incluyen las autoridades nacionales, regionales y locales, pero además una serie de organismos regidos por el derecho público. En tales casos, la designación de un DPO / DPD es obligatoria. ¿Qué ocurra con las personas físicas o jurídicas regidas por el derecho público o privado que realizan una labor pública, por ejemplo, en sectores como los servicios de transporte público, la vivienda o los organos disciplinarios de las profesiones reguladas?. Aunque no existe obligación legal el Grupo de Trabajo del artículo 29 recomienda su designación como buena práctica.
  • Actividades principales: El considerando 97 especifica que las actividades principales están relacionadas con sus actividades primarias y operaciones clave necesarias para lograr los objetivos del responsable o encargado de tratamiento y no están relacionadas con el tratamiento de datos personales como actividades auxiliares, como por ejemplo, pagar a sus empleados o realizar actividades de apoyo de TI.
  • Gran escala: El RGPD no da una definición aunque el considerando 91 ofrece alguna consideración. En cualquier caso, el Grupo de Trabajo recomienda que se tenga en cuenta el número de interesados afectados, el volúmen de datos, la duración de la actividad de tratamiento de datos, el alcance geográfico de la actividad de tratamiento. Podemos encontrar un listado que no constituye numerus clausus en las Directrices del Grupo de Trabajo sobre DPO / DPD (w243).
  • Observación habitual y sistemática: El RGPD no lo define pero el concepto de observación del comportamiento de los interesados se menciona en el considerando 24 e incluye toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental. Importante tener claro que este concepto no se limita sólo al entorno en linea e interpretar el considerando 24 como un ejemplo. El Grupo de Trabajo del artículo 29 interpreta el concepto «habitual» como continuado, recurrente, que tiene lugar de manera constante o periódica. Por otro lado, el Grupo de Trabajo interpreta el concepto «sistemático» como que se produce de acuerdo a un sistema, preestablecido, organizado o metódico, que tiene lugar como parte de un plan general de recogida de datos y se lleva a cabo como parte de una estrategia.
  • Categorías especiales de datos: Conforme al artículo 9 del RGPD incluye datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afilización sindical, y el tratamiento de datos genéricos, datos biométricos dirigidos a identificar de manera unívoca a uns persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Debemos tener en cuenta también los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

3.- ¿Qué criterios debemos tener en cuenta para designar a un único DPO / DPD para un único grupo de empresas?

El artículo 37.2 del RGPD, lo permite siempre que el Delegado de Proteccion de Datos sea fácilmente accesible desde cada establecimiento para la autoridad de control, los interesados o afectados, los empleados sin perder de vista el idioma local de cada establecimiento.

4.- ¿Qué conocimientos y habilidades debe tener un DPO / DPD?

El artículo 37.5 del RGPD establece que el DPO / DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. El nivel de conocimiento se debe determinar en función de las operaciones de tratamiento de datos. Importante tener en cuenta que debe tener una visión directiva para impulsar a la organización hacia el cumplimiento y después debe tener una visión legal, técnica y organizativa para proponer un plan real de cumplimiento.

5.- ¿Podemos contratar a un DPO / DPD externo?

Sí, podemos contratar los servicios externos con una persona física u organización ajena al responsable o encargado de tratamiento. Debemos identificar los miembros del equipo y asignar bien las tareas para evitar conflictos de intereses. Deberán cumplir los mismos requisitos que un Delegado de Proteccion de Datos interno y gozar de la misma protección conforme al RGPD.

6.- ¿ A quién debemos comunicar la designación de DPO / DPD y cómo?

El artículo 37.7 del RGPD requiere que el responsable o el encargado del tratamiento publiquen los datos de contacto del DPO / DPD y comuniquen los datos de contacto del DPO / DPD a las correspondientes autoridades de control. La AEPD está preparando un procedimiento para poder comunicar las designaciones de DPO / DPD mientras tanto admite cualquier forma siempre que deje claro los datos de contacto y a que organización representa como Delegado de Proteccion de Datos. Importante la excepción del artículo 33.3 b) del RGPD sobre las brechas de seguridad.

7.- ¿Qué diferencia principal hay entre un Delegado de Proteccion de Datos y un Responsable de Privacidad?

EL DPO / DPD asesora, informa, supervisa, conciencia, forma y colabora con la autoridad de control y los interesados o afectados mientras que el Responsable de Privacidad ejecuta las tareas en materia de protección de datos de carácter personal.

8.- ¿Debo buscar un DPO / DPD certificado?

No, no es necesario que el Delegado de Proteccion de Datos esté certificado pero sí es recomendable puesto que opera como referencia de calidad y además, certificado por la AEPD o por entidad certificadora debidamente acreditada.

9.- ¿Qué funciones tiene el DPO / DPD?

El artículo 39 establece una serie de mínimos y en resúmen le corresponde informar, asesorar, supervisar, concienciar, formar y colaborar con la autoridad de control, afectados o interesados y empleados.

10.- ¿Qué recursos debe asignar al DPO / DPD el responsable o encargado del tratamiento?

Dependerá del tipo de organización pero siempre deben ser suficientes para realizar sus funciones y cumplir con el RGPD en proporción a los recursos disponibles de cada una de las organizaciones. El Delegado de Proteccion de Datos necesita apoyo directivo, tiempo suficiente para el desarrollo de sus funciones y formación continua, entre otras.

11.- ¿Cuáles son las garantías que permiten al DPO / DPD desempeñar sus funciones de manera independiente?

El DPO ó DPD no recibirá instrucciones por parte de los responsables o encargados del tratamiento ni podrá ser destituido o sancionado por tener recomendaciones o criterios diferentes a los del responsable o encargado de tratamiento.

12.- ¿Qué límites tienen las funciones de DPO / DPD?

Los conflictos de intereses, por ejemplo, debemos excluir de la posibilidad de nombrar DPO ó DPD a aquellos que ostenten altos cargos y aquellos que tengan algún cargo a nivel directivo o inferiores pero que vayan a decidir sobre los fines o tratamientos de los datos de carácter personal. Debemos excluir de la posibilidad de nombrar a un DPO  ó DPD a determinadas áreas como las TIC y marketing.

13.- ¿El Delegado de Proteccion de Datos es responsable por los incumplimientos del responsable de tratamiento?

No, el responsable del cumplimiento y de poder demostrarlo siempre será el responsable o encargado de tratamiento. El Delegado de Proteccion de Datos debe desarrollar sus actividades de forma responsable, diligente y ajustarse al cumplimiento del Código Ético, por ejemplo de la AEPD.

14.- ¿Qué función tiene el DPO – DPD en una Evaluación de Impacto?

El artículo 35. 1 del RGPD dice que es labor del responsable del tratamiento. No obstante, el Grupo de Trabajo del artículo 29 recomienda que el responsable busque el asesoramiento del DPO / DPD para saber si debe llevar a cabo o no una evaluación de impacto, cómo hacerlo, qué metodología seguir, qué salvaguardias debe aplicar para itigar los riesgos para los derechos e intereses de los interesados y con posterioridad para saber si se ha llevado a cabo correctamente y si se han cumplido las funciones que busca el RGPD.

Estas son algunas de las consultas que nos habeis trasladado y desde ACUMPLIMIENTO podemos ayudaros a profundizar más en la figura del Delegado de Protección de Datos siempre que nos envieis nuevas consultas a través de nuestro formulario de contacto.

Sara Leal

Abogada.

Abogado Compliance – Cumplimiento Normativo

04/02/2018