¿Bye bye Responsable de Seguridad, hello DPO?

– Información al lector – Tiempo de lectura: 6 minutos

El Reglamento General de Protección de Datos que entró en vigor el 25 de mayo de 2016,  cuyo periodo de transisión para la adaptación para lo dispuesto en él finaliza el 25 de mayo de 2018, si bien deroga expresamente la Directiva 95/46/CE en la que se fundamenta nuestra LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) y nuestro RLOPD (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999) tendrá que convivir con ambas normas hasta que se derogen o modifiquen por nuestro legislador nacional, haciendo inaplicable cualquier precepto que contradiga lo dispuesto en él, requiriendo hasta ese momento una constante y laboriosa interpretación de la normativa nacional y la normativa europera (directamente aplicable y obligatoria en todos sus elementos al tratarse de un Reglamento y no una Directiva) para decidir qué medidas figuras o procedimientos son aplicables y de qué forma.

Una de las figuras características de nuestra normativa es el responsable de seguridad designado para coordinar y controlar las medidas de seguridad en los ficheros que contengan datos que requieran un nivel de protección de nivel medio o nivel alto. ¿Es compatible esta figura con la nueva figura del delegado de protección de datos? ¿Lo sustituye? ¿Asume sus funciones y obligaciones? ¿Convivirá con él o será causa de que haga las maletas?

La figura del delegado de protección de datos (DPO, abreviatura de su denominación en inglés data protection officer) no coincide totalmente con la actual figura del responsable de seguridad. Si bien ambas figuras tienen relación en cuanto a su relación a los tratamientos con datos sensibles (por ejemplo, relativos a infracciones administrativas o penales entre otros) o especialmente protegidos (por ejemplo, salud, afiliación sindical o origen étnico entre otros) el régimen jurídico de ambas figuras difieren, así como también se diferencian en su ámbito objetivo de aplicación.

Entramos de llenos en la mejor pregunta en este periodo de adaptación a la nueva normativa: ¿Se derogará la LOPD y el RLOPD? ¿Se modificará? ¿Se agruparán mediante la técnica del Real Decreto Legislativo?

El modelo Holandés de adaptación al RGPD

Con una previsión, de la que carece el legislador español, el 9 de diciembre de 2016 el Ministerio de Seguridad y Justicia holandés publicó un proyecto de ley para la aplicación del RGPD que se denominará “Ley de Ejecución del RGPD” que derogará su actual ley de protección de datos de los Paises Bajos, aplicándose así a partir del 25 de mayo de 2018 tanto el RGPD de forma directa como esta ley de ejecución (que seguramente será publicada con antelación suficiente).

Nuestra normativa sobre protección de datos incluye una ley con rango de orgánica (LOPD) y un reglamento de desarrollo (RLOPD) y si tenemos en cuenta las previsiones y formas de actuar del legislador español (la LOPD es la única ley en el ordenamiento jurídico español que carace de exposición de motivos y el RLOPD regula de forma reglamentaria materias reservadas a ley orgánica) no sabremos qué tendremos, si tenemos algo, antes de la fecha de aplicación efectiva del RGPD.

Modus operandi práctico de aplicación: comparación, análisis y lógica jurídica

Visto lo visto es aconsejable analizar tanto las figuras actuales y su régimen jurídico como las medidas de seguridad vigentes al día de hoy, y así nos podríamos preguntar ¿el responsable de seguridad permanecerá, se adaptará, será sustutido por el DPO ….?

Actualmente el Responsable de Seguridad confome a lo dipuesto en el RLOPD es el encargado de coordinar y controlar las medidas de seguridad implementadas (artículo 95 RLOPD) para los ficheros que requieran un nivel de protección medio y alto. Su perfil es claramente técnico.

El Delegado de Protección de Datos, según el artículo 38 RGPD, tiene como finalidad garantizar el cumplimiento de la normativa de protección de datos y la adecuación constante a los principios y normas del RGPD, en relación a todo el tratamiento realizado por la entidad. Su perfil es netamente jurídico. La confusión, a priori, con la figura del responsable de seguridad, es que uno de sus supuestos de designación obligatoria es la realización a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales (tipología de datos asimilables a los actuales niveles de seguridad medio y alto).

No existe una definición en el RGPD del DPO salvo su definición meramente teleologíca en la que se define por las finalidades asignadas (garantizar el cumplimiento de la normativa y su adecución constante) pero desde mi punto de vista y particular concepción de dicha figura, el DPO es el que diseña y crea las medidas de seguridad que hay que implementar, adecuando y supervisando así que la política de privacidad sea conforme a lo establecido legal y reglamentariamente, por lo que no sería ilógico que si llegado el momento y no se hubiese decidido nada en nuestro derecho nacional conforme a la aplicación del RGPD el responsable de seguridad podría convivir con el DPO.

Funciones asignadas a ambas figuras

Las funciones del responsable de seguridad son:

  • Coordinar y controlar las medidas de seguridad implementadas (artículo 95 RLOPD)
  • Analizar informe de auditorías (artículo 96.3 RLOPD)
  • Controlar los mecanismos del registro de accesos (artículo 103.3 RLOPD)
  • Revisar la información de control del registro de accesos y elaborar un informe de las revisiones realizadas y problemas detectados (artículo 103.5 RLOD)
  • En relación a los accesos autorizados, delegar a un usuario autorizaciones o funciones (artículo 5.2.a RLOPD)

Las funciones del DPO (concentradas en el artículo 39.1 RGPD) son:

  • Informar y asesorar al responsable o encargado de tratamiento y a los empleados de las obligación de la normativa de protección de datos;
  • Supervisar el cumplimiento de la normativa de protección de datos y las políticas de privacidad;
  • Concienciación y formación en los principios de protección de datos;
  • Auditar;
  • Asesoramiento y supervisión de la evaluación de impacto; y
  • Cooperación y punto de contacto con la autoridad de control

Podemos comprobar que la labor del DPO es más activa en la creación de la política de privacidad y la del responsable de seguridad más coordinación y control de lo ya establecido.

¿Puede continuar el responsable de seguridad?

Obviamente, no todas las entidades ni tratamientos requieren de un DPO, y su labor sólo sería necesaria en los supuestos de tratamientos de datos sensibles, pero entiendo que la supervivencia de la figura del responsable de seguridad no sería contradictorio con la normativa, ya que las funciones asignadas  al responsable de seguridad pueden servir de ayuda y colaboración para el desarrollo de la labor del DPO.

Un pensamiento en “¿Bye bye Responsable de Seguridad, hello DPO?

  1. Pingback: Recuerda … viene el Reglamento General de Protección de Datos | Derecho más Informática D+I

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *