La figura del Data Protection Officer en el Reglamento General de Protección de Datos
Socio y abogada de IP-IT Broseta Abogados
El pasado 27 de abril se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (“RGPD”), que será de aplicación a partir del 25 de mayo de 2018.
Entre las novedades que introduce destaca la creación de la figura del delegado de protección de datos (“DPO” por sus siglas en inglés). Sobre esta figura, novedosa en nuestro país, señala el RGPD que debe tratarse de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos que debe ayudar al responsable o al encargado del tratamiento a supervisar el correcto cumplimiento de dicha norma.
La función de supervisión y vigilancia del cumplimiento del RGPD asignada al DPO es capital, pues son muchas y variadas las obligaciones allí contenidas. Si bien es cierto que algunas de ellas no son desconocidas en España, toda vez que el RGPD parte de una serie de principios generales ya recogidos en la Directiva 95/46/CE, transpuesta en nuestra normativa a través de la Ley Orgánica de Protección de Datos, el RGPD, además, incorpora relevantes novedades para los sujetos obligados (con carácter general, entidades públicas y privadas que traten datos de personas físicas bien como responsables, bien como encargados del tratamiento). Esto comporta adoptar múltiples medidas e iniciativas de índole técnico y organizativo que, a la postre, permitan que los sujetos obligados puedan acreditar dicho cumplimiento.
Estas obligaciones deberán ser observadas de manera estricta por los responsables y encargados del tratamiento, y la figura del DPO debe leerse como un medio, herramienta o cauce imprescindible a tal fin.
El RGPD señala como supuestos en los que será obligatorio contar con un DPO el tratamiento de datos por parte de la autoridad pública, a excepción de los tribunales que actúen en su función jurisdiccional. En lo que respecta al sector privado, será necesario si el tratamiento lo realiza un responsable que trate datos a gran escala que requieran de un seguimiento habitual y sistemático (por ejemplo: profiling), o en el caso que las actividades del responsable o encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales (p.ej: solvencia patrimonial) y datos relativos a condenas e infracciones penales.
Se contempla, igualmente, la posibilidad de designar un único DPO para un grupo empresarial o para varias autoridades u organismos públicos en función de la estructura, tamaño y accesibilidad de cada organización.
Además de que el RGPD prevé que la legislación interna de cada Estado miembro añada supuestos en los que será obligatoria la existencia de DPO, su designación en empresas y organizaciones del sector privado es altamente recomendable. En este sentido, importa traer a colación el principio de responsabilidad activa
(accountability), en cuya virtud los responsables y encargados del tratamiento deberán establecer medidas que garanticen y permitan demostrar el cumplimiento del RGPD. Asegurar que los destinatarios de la norma cumplimentan y adecuadamente las muchas y variadas obligaciones contenidas en el RGPD es, sin duda, una de las tareas fundamentales del DPO. Por consiguiente, el asesoramiento especializado de un DPO se antoja capital e incluso a efectos de probar su obrar diligente.
Como se ha dicho, el DPO tiene la función primordial de vigilar el cumplimiento por los responsables y encargados del tratamiento del RGPD, informando y asesorando sobre las obligaciones que se derivan del RGPD y demás disposiciones normativas en materia de protección de datos y cooperando con la autoridad de control al tiempo que actúa como contacto ante la Agencia Española de Protección de Datos (por ejemplo, en casos de quiebras de seguridad). También actuará como contacto para los titulares de los datos personales, ya que en virtud del RGPD será necesario informarles los datos de contacto del DPO al momento de recabar sus datos.
¿En plantilla o como profesional ajeno?
El DPO podrá formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios, habilitando de esta forma el RGPD la posibilidad de externalizar estos servicios hacia profesionales de la privacidad. Sobre este punto, es importante detenernos en la exigencia del RGPD de que el DPO pueda expresar sus opiniones conforme a su criterio experto sin que pueda recibir “ninguna instrucción en lo que respecta al desempeño de dichas funciones”, lo cual a priori parecería más complejo cuando dicho DPO pertenece a la plantilla del responsable que si se trata de un profesional ajeno o vinculado por un contrato mercantil de servicios.
En cualquier caso, los sujetos que designen un DPO asumen compromisos frente al mismo. Así, en aras a la precitada autonomía e independencia del DPO, las organizaciones deben estar en disposición de garantizarle:
– La participación de forma adecuada y en tiempo en las cuestiones relativas a la protección de datos personales.
– Un acceso a los recursos necesarios para el desempeño de sus funciones y a los datos personales y operaciones de tratamiento.
– Un compromiso de “no hacer”, en el sentido de que el DPO no podrá recibir instrucciones para el desempeño de sus funciones, ni ser destituido o sancionado por cumplir con sus funciones.
En resumen, si bien el legislador europeo ha optado por no exigir la figura del DPO de forma obligatoria para el sector privado, su reconocimiento y apuesta por esta figura es contundente y el mensaje es claro. La nueva norma requiere un elevado grado de especialización para asegurar su cumplimiento y, sin duda, la figura del DPO es clave. Eso sí, será imprescindible que se integre de forma efectiva en la organización, de forma que participe activamente en cualquier iniciativa en la que la normativa sobre protección de datos sea considerada.