El Delegado de Protección de Datos en el RGPD
(Si lo necesitas, ¡llámanos! 644507688)
El RGPD incorpora nuevos compromisos en materia de privacidad y protección de datos pero la normativa europea es poco precisa sobre la contratación de un delegado de protección de datos.
Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas
Normativa aplicable
El Reglamento Europeo es de
aplicación directa en nuestro país. Prevalece sobre la ley actual y
también lo hará sobre la nueva y, por tanto, cuando se apruebe el texto
definitivo, si hay algo de la nueva Ley Orgánica que contradiga lo
dispuesto por el Reglamento Europeo, será éste el que prevalezca.
En la jerarquía de normas
europea el reglamento ocupa la cima. Está por encima de la Directiva que
exige trasposición y, por supuesto, por encima de la ley de los estados
miembros.
La normativa aplicable es la siguiente:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos ).
El Delegado de Protección de Datos
El Reglamento crea la figura inédita del Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, otorgándole carácter obligatorio.
Sobre la misma, el
considerando 97 dice que al supervisar la observancia interna del
presente Reglamento, el responsable o el encargado del tratamiento debe
contar con la ayuda de una persona con conocimientos especializados del
Derecho y la práctica en materia de protección de datos si el
tratamiento lo realiza una autoridad pública, a excepción de los
tribunales u otras autoridades judiciales independientes en el ejercicio
de su función judicial, si el tratamiento lo realiza en el sector
privado un responsable cuyas actividades principales consisten en
operaciones de tratamiento a gran escala que requieren un seguimiento
habitual y sistemático de los interesados, o si las actividades
principales del responsable o del encargado consisten en el tratamiento a
gran escala de categorías especiales de datos personales y de datos
relativos a condenas e infracciones penales.
Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente
Designación
Viene regulada en el art. 37 RGPD.
Deberá ser designado por el
encargado o responsable, atendiendo a sus cualidades profesionales y,
en particular, a sus conocimientos especializados del Derecho y la
práctica en materia de protección de datos y a su capacidad para
desempeñar sus funciones.
Esa designación está protegida por una salvaguarda que abarca una serie de garantías:
1. Blindaje
No podrá ser destituido por el responsable por el ejercicio de sus funciones (art. 38.3 RGPD ).
2. Autonomía
El art. 38.3 RGPD dice que
«El responsable y el encargado del tratamiento garantizarán que el
delegado de protección de datos no reciba ninguna instrucción en lo que
respecta al desempeño de dichas funciones. No será destituido ni
sancionado por el responsable o el encargado por desempeñar sus
funciones. El delegado de protección de datos rendirá cuentas
directamente al más alto nivel jerárquico del responsable o encargado».
3. Independencia
El considerando 97 dice
que los delegados de protección de datos, sean o no empleados del
responsable del tratamiento, deben estar en condiciones de desempeñar
sus funciones y cometidos de manera independiente.
4. Disponibilidad
A ese efecto, los datos de contacto de los delegados de protección de datos deben figurar en:
— La información que obligatoriamente debe darse al interesado del que se obtengan datos personales [art. 13.1.b)].
— La consulta previa a la autoridad del art. 36.3.d) del Reglamento.
— La información que obligatoriamente debe darse al interesado del que no se obtengan datos personales [art. 14.1.b)].
— El registro de las actividades de tratamiento efectuadas bajo su responsabilidad de cada responsable [art. 30.1.a)].
— El
registro de las categorías de actividades de tratamiento efectuadas
bajo su responsabilidad de cada responsable [art. 30.2.a)].
Integración
El delegado de protección
de datos debe gozar de independencia con respecto al responsable. El
considerando 97 dice que los delegados de protección de datos, sean o no
empleados del responsable del tratamiento, deben estar en condiciones
de desempeñar sus funciones y cometidos de manera independiente.
Se puede integrar de forma interna o externa.
En el primer caso será un empleado por cuenta ajena, contratado por medio de una relación laboral o funcionarial.
Por último, también se está
planteando considerar la Protección de Datos como un servicio, pero no
parece que sea admisible ni compatible con la relevancia que se pretende
dar a la privacidad de los datos personales a través de las sucesivas
normas comunitarias.
Funciones
Las Normas corporativas
vinculantes deberán ser aprobadas por la autoridad de control cuando se
cumplan los requisitos previstos en el art. 47.1 RGPD.
Esas normas deben incluir las funciones del delegado [art. 47.2.h) del Reglamento].
Genéricamente son las siguientes:
1.- Informar y asesorar
Al responsable o al
encargado del tratamiento y a los empleados que se ocupen del
tratamiento de las obligaciones que les incumben en virtud del RGPD y de
otras disposiciones de protección de datos de la Unión o de los Estados
miembros.
2.- Supervisar
El cumplimiento de lo
dispuesto en el presente Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las
políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales [art. 39.1.b) RGPD ].
3.- Cooperar
El art. 39.1.d) y e) del
Reglamento imponen cooperar con la autoridad de control y actuar como
punto de contacto de la autoridad de control para cuestiones relativas
al tratamiento, incluida la consulta previa a que se refiere el art. 36,
y realizar consultas, en su caso, sobre cualquier otro asunto.
Es significativo que en el
caso de violaciones de seguridad, el art. 33.3.b) permita que se
notifique a la autoridad de control otro punto de contacto, lo que
parece evitar al delegado en este caso y no contar con él en el caso de
violaciones de seguridad.