AD+
La figura del Delegado de Protección de Datos (en adelante, “DPD”) surge en España con la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”). La adaptación de la normativa nacional al RGPD con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”), regula las especificidades en cuanto a la obligatoriedad de su designación, funciones y perfil del DPD.
Si bien ya han pasado varios meses de su obligado cumplimiento, se detectan organizaciones que no han procedido al nombramiento del DPD. La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado, por la falta de nombramiento del DPD, con una multa de 50.000 € a una empresa de Seguridad Privada (puede consultar resolución en el siguiente enlace: https://www.aepd.es/es/documento/ps-00251-2020.pdf), y con una multa de 25.000 € a una empresa que realizaba tratamiento de datos a gran escala mediante APP (puede consultar resolución en el siguiente enlace: https://www.aepd.es/es/documento/ps-00417-2019.pdf).
La figura del DPD viene recogida en el Capítulo III de la LOPDGDD, el cual está formado por cuatro artículos, cada uno de ellos establecidos de la siguiente forma:
- Artículo 34. Designación de un delegado de protección de datos.
- Artículo 35. Cualificación del delegado de protección de datos.
- Artículo 36. Posición del delegado de protección de datos.
- Artículo 37. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.
Cada uno de ellos va dirigido a regular una nueva figura que tiene como función controlar el cumplimiento de la normativa en materia de protección de datos. Pero, ¿quién o quienes están obligados a su nombramiento?, ¿qué perfil tiene que tener la persona que se nombre como DPD?, ¿puede ser un externo que preste funciones como DPD?, dentro de la función de “control” ¿cuál es su posición? Y, en concreto, ¿qué funciones tiene que realizar?
El art. 34 de la LOPDGDD, establece:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.”
Además de dicho listado, el art. 34 hace referencia a los supuestos previstos en el artículo 37.1 del RGPD:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”
El responsable o encargado del tratamiento que cumpla con alguno de los supuestos mencionados en el art. 34.1 de la LOPDGDD o en el art. 37.1 del RGPD estará obligado a realizar el nombramiento del DPD. Tanto en el caso de nombramiento obligatorio como de forma voluntaria (art. 34.2 LOPDGDD), deberán de comunicar el mismo a la AEPD en el plazo de 10 días.
El DPD tiene que cumplir con los requisitos establecidos en el art. 35 de la LOPDGDD:
“El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.”
Por su lado, el art. 37.5 del RGPD dispone:
“El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”
Por tanto, el responsable o encargado del tratamiento, antes de realizar el nombramiento de un DPD, deberá de verificar que cumple con los requisitos mencionados en los artículos expuestos. Asimismo, tal y como recoge el art. 35 de la LOPDGDD, el DPD puede ser “una persona física o jurídica”, con lo cual, es un servicio que puede ser prestado por un externo siempre y cuando cumpla los requisitos para ello.
En cuanto a la posición del DPD en la organización del responsable o encargado del tratamiento, el art. 36 de la LOPDGDD establece:
“1. El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.”
Es importante destacar la imparcialidad e independencia con la que debe contar el DPD para poder realizar sus funciones de control. Tal y como se desprende del artículo mencionado, se especifica que el responsable, o encargado del tratamiento, debe garantizar la independencia para evitar un posible “conflicto de intereses”. Toma especial relevancia el análisis previo al nombramiento en cuanto a los requisitos y perfil de la persona (física o jurídica) en la que recaiga la designación de DPD.
Las funciones específicas del DPD vienen establecidas en el artículo 39 del RGPD:
“1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.”
Como conclusión, la hoja de ruta que deberán seguir responsables y encargados del tratamiento a la hora de proceder a la designación del DPD es la siguiente:
- Verificar si se encuentran dentro de los supuestos obligados recogidos en el artículo 34.1 de la LOPDGDD y 37.1 de la RGPD.
- De no encontrarse dentro de los supuestos establecidos en los artículos mencionados, analizar los beneficios de contar con un DPD en la organización.
- Analizar perfiles en los que pueda recaer el nombramiento DPD, ya sea en personal interno o externo de la organización. Recordar que deberán de cumplir con los requisitos recogidos en el art. 35 de la LOPDGDD en el art. 37.5 del RGPD.
- Establecer las funciones encomendadas al DPD. Tener en cuenta las funciones mínimas del art. 39 del RGPD. De recaer el nombramiento en una persona externa se deberá regular la relación en un acto jurídico/contrato entre el responsable y el encargado del tratamiento.
- Comunicar el nombramiento en el plazo de 10 días a la AEPD.
Daiana Lamela Scafarelli
15 de diciembre de 2020
Daiana Lamela Scafarelli
Abogada en Tecnologías de la Información, Protección de Datos y Privacidad
Correo electrónico: dlamela@ecija.com
Pingback: Tratamiento a Gran Escala y el DPO. - A definitivas