Ya tenemos DPO – ¿qué tenemos “depequé”? –

– Información al lector – Tiempo aproximado de lectura: 9 minutos

Se hizo un corrillo entre los trabajadores

  • “Ya ha venido”
  • “¿Quién ha venido?”
  • “El DPO”
  • “¿El depequé?”
  • “El DPO…”
  • “Y qué es ¿abogado, informático, consultor? Este es el nuevo de la protección de datos, ¿no?”
  • “No lo sé, pero ha empezado a preguntarnos a todos de todo …”
  • “¿Cómo?”
  • “Sí, a administración, a marketing, a los chicos de informática sobre todo …”

Esta es una conversación que se dará a partir de ahora en instituciones y empresas. Esa persona que ha entrado por la puerta de tu empresa y que se interesa por todo lo relativo al funcionamiento y estructura de la entidad y de cómo se tratan los datos es un Delegado de Protección de Datos. Es una de las grandes novedades de la nueva normativa de protección de datos: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) cuyo régimen transitorio de adaptación finaliza el 25 de mayo de 2018.

En lugar de denominarlo DPD se le suele denominar DPO por las siglas de su definición en inglés: “Data Protection Officer” (Oficial de Protección de Datos) por su asimilación a las figuras de oficiales de cumplimiento normativo a nivel internacional: “Compliance Officer

Antecedentes

La derogada Directiva 95/46/CE, de 24 de octubre, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ya hacía referencia al encargado de la protección de los datos. En el Considerando 54 se hablaba de la cooperación de esta figura con la autoridad de control en el examen previo de tratamientos con riesgos particulares (y como control previo en el artículo 20) y en el artículo 18.2 le asignaba como cometidos hacer aplicar en el ámbito interno de manera independiente la normativa de protección de datos, llevar un registro de tratamientos y garantizar que no se ocasionase una merma de los derechos y libertades de los interesados.

Dicha figura no se traspasó a la normativa española, pero con la entrada en vigor del RGPD y su carácter de norma directamente aplicable es una figura que se instala en el ordenamiento jurídico español.

Concepto y definición

En la normativa no existe una definición descriptiva de esta figura. El RGPD empieza diciendo cuándo hay que designarlo y cuáles han de ser sus cualidades profesionales y si puede formar parte o no de la estructura del responsable del tratamiento (artículo 37) también cuál es su posición (artículo 38) y sus funciones (artículo 39) pero no se da una definición.

Esta figura tiene mucha relación y se fundamenta en el “Compliance Officer“ (Oficial de “Cumplimiento”) que es el responsable de supervisar y gestionar todas las cuestiones relacionadas con el cumplimiento normativo.

Su origen tiene que ver con el principio de accountability dentro del compliance, es decir la responsabilidad proactiva dentro del cumplimiento. Todos estos principios y figuras nos son ajenos porque contemplamos la responsabilidad como algo reactivo: se reacciona cuando algo ya ha sucedido y se ha de afrontar las consecuencias y la responsabilidad cuando se ha dado un incumplimiento, y es exactamente lo contrario la cultura del cumplimiento fomenta la responsabilidad para que no se dé lugar a incumplimientos. Para entendernos, es algo parecido a la medicina preventiva: debemos ir al dentista para las oportunas revisiones y así mantener buena dentadura impidiendo problemas bucales, y no pensar que solamente tenemos que ir al dentista cuando ya no hay más remedio, con un flemón y dolor insoportable …

Así pues, podemos definirlo como el responsable, interno o externo, que verifica y asesora sobre el cumplimiento de la normativa de protección de datos aplicable a un responsable o un encargado del tratamiento siendo también el punto de contacto entre éstos y la autoridad de control (Agencia Española de Protección de Datos).

Como ya tuvimos oportunidad de analizar en este Blog el DPO no es igual al actual responsable de seguridad. El responsable de seguridad coordina y controla las medidas de seguridad ya implementadas y el DPO tiene como objetivo principal implementar un “Programa de Cumplimiento” basado en procedimientos que aseguren el cumplimiento normativo interno y externo de la normativa de protección de datos de las actividades que desarrolle el responsable o el encargado del tratamiento.

¿Bye bye Responsable de Seguridad, hello DPO?

¿Quién puede ser DPO?

El artículo 37.5 del RGPD especifica que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. ¿Cuáles son estas funciones?

El mencionado artículo 39 nos dice que serán como mínimo las siguientes:

  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en la normativa de protección de datos y supervisar su cumplimiento,
  • Supervisar las políticas de privacidad del responsable o del encargado del tratamiento incluida la asignación de responsabilidades,
  • Concienciación y formación del personal que participa en las operaciones de tratamiento,
  • Auditorías;
  • Asesoramiento sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
  • Cooperar con la autoridad de control;
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El resto de sus funciones se configurarán conforme a su actividad, así por ejemplo, al ser una de sus labores la de servir de punto de contacto con la autoridad de control, en el supuesto de que haya que realizar una notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33) será el encargado de la gestión de dicho procedimiento y en supuesto de una violación de la seguridad de los datos personales (artículo 34) es el que habrá de realizar a dichos interesados la comunicación que corresponda.

De igual forma, ha de servir de canal de atención a los interesados en el cumplimento de sus derechos (acceso, rectificación, cancelación, oposición, limitación de tratamiento o portabilidad) estableciendo el artículo 38.4 que los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos, determinándose en sendos apartados 1.b de los artículos 13 y 14 que en la información que se facilitará a los interesados al obtener sus datos, se incluirá los datos de contacto del delegado de protección de datos.

Cualidades del DPO

Ante tantas y variadas funciones a desempeñar habrá de contar, aparte de sus conocimientos en Derecho y protección de datos, con conocimientos técnicos (en programas de gestión e informática) de gestión de equipos (para coordinar a los distintos departamentos) con dotes de formador (para la formación a realizar a los empleados y a la dirección) aptitudes en comunicación (para la concienciación a realizar y para las notificaciones a los interesados) y con habilidades en mediación (para la resolución de conflictos y reclamaciones de los interesados).

Dichas aptitudes pueden recaer en una sola persona o también puede encomendarse a un equipo multidisciplinar (abogados, informáticos, mediadores y responsables de comunicación).

Tipos de DPO: interno o externo

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios (artículo 37.6) teniendo en cuenta que si es de carácter interno dicho DPO podrá desempeñar otras funciones y cometidos, garantizando el responsable o encargado del tratamiento que dichas funciones y cometidos no den lugar a conflicto de intereses (artículo 38.6)

La efectividad del DPO

Con el nuevo RGPD se ha alcanzado ya una “mayoría de edad” o madurez en materia de protección de datos. Ya no estamos frente a un esquema rígido o predeterminado de niveles y medidas de seguridad, pues es el responsable del tratamiento el que tiene que decidir qué medidas técnicas y organizativas son las apropiadas para garantizar un nivel de seguridad adecuado al riesgo previamente evaluado (artículo 32).

Por ello y de igual forma, el delegado de protección de datos ha de desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento (artículo 39.2).

También dispone el DPO de herramientas para que su labor sea lo más efectiva posible. En el artículo 38.1 se determina que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Dicho precepto viene entroncado con las medidas de privacidad por el diseño y la privacidad por defecto (artículo 25) pues si desde el inicio de cualquier actividad desarrollada no se tiene en cuenta lo que es más adecuado para la protección de la privacidad de los interesados difícilmente se podrá corregir en fases más avanzadas y de ejecución de los proyectos.

De igual forma el artículo 38.2 insta a que el responsable y el encargado del tratamiento han de respaldar al delegado de protección de datos en el desempeño de sus funciones y facilitar los recursos necesarios para el desempeño de dichas funciones, el acceso a los datos personales, a las operaciones de tratamiento y para el mantenimiento de sus conocimientos especializados.

Por último, el responsable y el encargado del tratamiento han de garantizar que el DPO no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones, no podrá ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones (en el supuesto de DPO interno) y solamente rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento (artículo 38.3)

Con todo ello se conseguirá la mayor efectividad en las labores desarrolladas por el DPO.

Cuándo es obligatorio y cuándo necesario un DPO

El artículo 37.1 especifica que el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  • el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales que actúen en ejercicio de su función judicial)
  • las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • las actividades principales del responsable o del encargado de tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).

Estos son los supuestos en los que la figura del DPO es obligatoria.

Desde mi punto de vista sería necesario para poner en marcha, con independencia del tipo de organización y actividad, desde el principio una adecuada y correcta adaptación a la nueva normativa de protección de datos que tantos cambios y novedades ha sufrido con el nuevo RGPD, haciendo efectiva una conciencia de la nueva cultura del cumplimiento en esta materia, aportando también una formación adaptada a su exigencias en particular.

  • “Menos mal, este nuevo de la protección de datos, por lo menos te explica las cosas y ha empezado por el principio ….”
  • “¿De quién estáis hablando?”
  • “Del DPO”
  • “¿El depequé?”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *