El Reglamento UE 2016/679 General de Protección de Datos del que venimos hablando en últimos posts ha centrado el foco de atención en materia de privacidad en este año. Muchas de las novedades ya pueden ser incorporadas, otras serán objeto de interpretación por parte de la Agencia Española de Protección de Datos que está emitiendo guías orientativas y documentos que ayudarán a las empresas en su adaptación.
El Delegado de Protección de Datos es una figura regulada en los artículos 37 a 39 del Reglamento y que será obligatoria en los siguientes casos:
Estos tres casos, si bien parecen claros, plantean algunas dudas interpretativas, como por ejemplo ¿qué se considera “gran escala”?
Nada se dice sobre el tamaño de la organización al respecto.
El pasado 15 de febrero se publicó la Posición de la Confederation of European Data Protection Organisations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD), posición bastante clarificadora a efectos de determinar qué tipo de organizaciones necesitan de esta figura.
De hecho los criterios de designación son los siguientes:
Esto significa, por ejemplo que una gran empresa dedicada a la fabricación de componentes que realiza tratamiento de datos de sus empleados y de clientes (habitualmente compañías) tendrá un riesgo mucho menor que una clínica médica de especialidades en la que se realiza un tratamiento constante de datos considerados en el grupo de categorías especiales.
Además el DPO requiere una cualificación que incluya conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos así como habilidades de comunicación.
Podrá ser interno, externo o mixto. Esta última figura quizás puede ser la más adecuada contando para ello con un profesional en el que el DPO interno pueda apoyarse en su día a día.
En el caso de pequeñas organizaciones (el ejemplo de la clínica que veíamos antes), puede ser aconsejable que el DPO sea externo y se establezca una relación de “encargo de tratamiento” con plenas garantías entre el responsable y el DPO:
Además el DPO tendrá que reportar al máximo órgano jerárquico (Consejo de Administración o similar) lo cual recuerda mucho a la figura del “compliance officer” que asume unas funciones similares en la parte de prevención de riesgos penales y cumplimiento normativo. Es muy factible que en algunas organizaciones el Compliance Officer y el DPO recaigan en la misma persona o en el mismo órgano. El DPO podría considerarse, salvando las distancias normativas, una especie de Compliance Officer cualificado.
Cuando se trate un responsable interno pueden surgir conflictos de intereses ya que salvo en organizaciones de muy gran tamaño lo habitual es que el DPO recaiga en una persona o personas con otras funciones que a su vez pueden tener responsabilidad en el tratamiento de datos.
En cuanto a la responsabilidad del DPO, digamos que no tiene una responsabilidad específica según el RGDP ya que frente a posibles sanciones el responsable siempre será el Responsable del tratamiento. Ahora bien, en el caso de dejación de sus funciones, negligencia etc, el responsable del tratamiento podría adoptar las acciones laborales, civiles o penales que correspondan en su caso.
En el próximo post abordaremos la cuestión de las funciones del DPO y la necesidad o no de identificarse de acuerdo con lo dispuesto en el artículo 13 del RGDP.
En todo caso, nos ponemos a disposición de los lectores para cualquier aclaración al respecto.
Paz Martín
