Uría Menéndez Abogados, S.L.P. Antigua alumna del Máster Oficial de Asesoría Jurídica de Empresas de la Fundación de Estudios Bursátiles y Financieros (FEBF)

Tras más de cuatro años de proceso legislativo y de largas y complejas negociaciones, el 25 de mayo de 2016 entró en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Este Reglamento renueva y sustituye el marco regulatorio de toda la Unión Europea en materia de protección de datos (al tratarse de un reglamento europeo, sus disposiciones son de aplicación directa a todos los Estados miembros de la UE).

Sin perjuicio de la vigencia del Reglamento, sus disposiciones y contenido resultarán de aplicación para empresas, ciudadanos y administraciones en el plazo de dos años (el 25 de mayo de 2018).

¿Significa esto que no deben adoptarse medidas hasta la fecha indicada? No. El Reglamento impone numerosas obligaciones cuyo cumplimiento requerirá la involucración de diversos agentes dentro de la organización así como la implementación de procedimientos y medidas eficaces. Se deja atrás el concepto de la protección de datos como una materia estanca. En efecto, el derecho a la protección de datos se reafirma como un derecho vivo, dinámico, que ha de evolucionar al mismo tiempo que la tecnología. Las organizaciones van a tener que integrar en sus procesos la protección de datos personales como un aspecto que, relevante o no (según el caso), va a tener que analizarse.

Estas obligaciones de “responsabilidad proactiva” se introducen a través del llamado “principio de accountability” que exige a las organizaciones el establecimiento de medidas que garanticen y permitan demostrar el cumplimiento del Reglamento (esto es, la implantación de políticas de protección de datos que no solo “han de existir”, sino que han de estar adaptadas a las circunstancias de la organización, implementadas y funcionar en la práctica). Desarrollando este principio general, el Reglamento establece la obligación de las empresas de tener en cuenta la protección de datos desde el momento del diseño de sus procedimientos, productos y servicios (privacy by design) y a que por defecto solo sean objeto de tratamiento los datos personales mínimos que sean necesarios para alcanzar el fin legítimo perseguido (privacy by default). A las anteriores obligaciones se suman, entre otras, la llevanza de un registro interno y por escrito de las actividades de tratamiento que se realicen (eliminándose la tradicional obligación de registro de ficheros ante la autoridad de control), la realización de evaluaciones previas de impacto para aquellos tratamientos que supongan un riesgo significativo para los derechos de las personas o la notificación a la autoridad de control de los fallos (brechas) de seguridad que, en su caso, se produzcan.

El establecimiento de todas estas obligaciones pone en valor la figura del profesional de la privacidad como rol indispensable en las organizaciones. Esta figura tiene un reconocimiento expreso en el Reglamento mediante la introducción de la figura del delegado de protección de datos (“data protection officer” o “DPO”).

El DPO se constituye como la persona encargada dentro de la organización de supervisar el cumplimiento con las obligaciones en materia de protección de datos y con las políticas adoptadas a tales efectos, asesorar acerca de estas obligaciones y cooperar con la autoridad de control actuando como punto de contacto. Su rol ha de ser proactivo, debe adelantarse a potenciales situaciones de riesgo y no esperar a que la infracción sea cometida, sino ser capaz de preverla y adoptar las medidas correctoras o mitigadoras que sean necesarias. Asimismo, el Reglamento impone la obligación de que esta figura actúe de manera independiente, sin recibir instrucciones de ningún tipo y reportando directamente al más alto nivel jerárquico de la organización, y le dota de protección laboral reforzada reconociendo que no podrá ser destituido ni sancionado por desempeñar sus funciones.

No obstante, el Reglamento solo exige la designación del DPO en determinados supuestos: (i) cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; (ii) cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o (iii) cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (esto es, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical del individuo; el tratamiento de datos genéticos; datos biométricos dirigidos a identificar de manera unívoca a una persona física; datos relativos a la salud; datos relativos a la vida sexual o la orientación sexual o de datos relativos a condenas e infracciones penales).

En España, a diferencia de lo que ocurre en otros países europeos como Alemania o Francia, la normativa vigente en materia de protección de datos personales (esto es, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, que aprueba su reglamento de desarrollo), no prevé una figura de DPO como tal, sino que establece la existencia de un “responsable de seguridad” (obligatoria solo en el supuesto de que determinadas categorías de datos sean objeto de tratamiento). Este responsable de seguridad desempeña funciones circunscritas al control y la coordinación del cumplimiento de las medidas de seguridad obligatorias en el seno de la organización, pero no desempeña tareas de índole legal.

Por este motivo, las organizaciones españolas se han mostrado muy interesadas e incluso preocupadas por la necesidad de nombrar a un DPO a la luz del nuevo Reglamento. De hecho, son muchas las preguntas por resolver: ¿Valdrá la pena externalizar en un tercero la figura del DPO? ¿Cuál es el perfil más idóneo para desarrollar estas funciones? ¿Son compatibles estas funciones con las asignadas, por ejemplo, al compliance officer de la organización?