MARKETING, INTERNET & COPYRIGHT

Newsletter

Riestra Abogados. 26 de junio de 2017

Reglamento (UE) 2016/679

Actualmente nadie queda al margen de los nuevos acontecimientos que están teniendo lugar con motivo de la nueva regulación europea en cuanto a protección de datos se refiere. Como todos sabemos, la Directiva 95/46/CE relativa a la protección de datos de las personas físicas requería de una nueva interpretación para salvaguardar el derecho a la protección de datos personales en el ámbito de la Unión Europea; por ello se aprueba el Reglamento General de Protección de Datos (RGPD) que entrará en vigor en mayo de 2018, constituyendo un conjunto unitario de reglas directamente aplicables al tratamiento de datos personales de los ciudadanos europeos; facilitando de esta manera la libre circulación de datos personales junto con una mayor garantía de los derechos y libertades fundamentales de los ciudadanos europeos.

Entre las medidas más destacadas, obtiene relevancia la figura del Delegado de Protección de Datos, Data Protección Officer o también conocido como DPO, puesto que el RGPD contempla que en determinados casos el responsable y el encargado del tratamiento deberán nombrar a un DPO para garantizar el cumplimiento de la normativa legal vigente, ya que al estar incursos en una era que podemos denominar de la “globalización” donde el derecho a la privacidad es esencial para el correcto desarrollo de las actividades que realizamos cotidianamente, es en este ámbito donde la figura del DPO adquiere mayor notoriedad.

En primer lugar, nos podemos preguntar: ¿Qué se entiende por DPO? Pues bien, la figura del DPO podríamos definirla como aquella persona que desempaña un trabajo de forma independiente, con una labor preventiva y proactiva a través de la cual supervisa, coordina y transmite la política de protección de datos tanto en el interior de la empresa o institución en la que desarrolle su cargo, como en el exterior de la misma; siendo el nexo de unión entre el departamento de seguridad y el de protección de datos de la entidad.

En segundo lugar, podríamos plantearnos la siguiente cuestión: ¿Es obligatorio siempre y en todo caso el nombramiento de un DPO?. Conforme viene establecido en el art. 37 RGPD: “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales”.

Por tanto, la figura del DPO es voluntaria salvo que se den los requisitos destacados anteriormente; es decir; existe obligación de contratar un Delegado de Protección de Datos en organizaciones e instituciones públicas y en entidades con más de 250 trabajadores. En el caso de entidades con menos de 250 empleados, será obligatorio el DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten datos catalogados como especialmente protegidos.

Por otro lado, en relación a las funciones del DPO la empresa o entidad podrá ampliar las funciones asignadas a dicha figura, no obstante, el DPO realizará las siguientes funciones (art. 39 RGPD):

“a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.”

En cuanto a las responsabilidades inherentes a esta figura, hemos de destacar que la principal responsabilidad es velar por el cumplimiento de la normativa de privacidad y protección de datos de la empresa, entidad o administración pública para la que preste los servicios.

Otra de las cuestiones que nos pueden suscitar dudas es: ¿Cualquiera puede ser DPO, qué competencias tiene que tener esta figura? Entre las competencias más relevantes debemos resaltar que:

1) Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos (art. 37.5 RGPD).

2) Sus funciones básicamente serán garantizar el cumplimiento de la legislación en materia de protección de datos, haciendo viable el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.

3) El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.

En cuanto a la independencia del DPO podemos afirmar que en aras a lo establecido en el art. 37.6 RGPD “el DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios”.

El RGPD aclara en el art. 38.3 que “el responsable o el encargado velarán por que el DPO sea plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento.”

4) El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización (art. 37.6 RGPD).

También hemos de resaltar que con la incorporación del DPO se pretende generar una mayor importancia a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la normativa de protección de datos.

No obstante, la diferencia más palpable entre el Responsable de Seguridad y el Delegado de Protección de Datos se cierne en la exclusividad de éste último en sus funciones. Es decir, el DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de Seguridad, dando lugar a que sin sustento en argumentos y conocimientos sólidos, se elegía a profesionales sin la adecuada formación. Por ende, el DPO deberá ser designado en base a sus cualidades profesionales y, en concreto, a sus conocimientos especializados en relación a la normativa en materia de protección de datos, y a su capacidad para llevar a cabo los objetivos contemplados en el Reglamento.

Conclusión

Por último, a modo de conclusión se podría afirmar que el DPO será una figura que promoverá el cumplimiento de la normativa de protección de datos, convirtiéndose de esa manera en el actor clave para garantizar y proteger la privacidad y seguridad de los datos responsabilidad de la entidad para la cual desarrolle su cargo.

Delegado de Protección de Datos.

(LOPD / Nuevo Reglamento de Protección de Datos)

Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.