13 des. El papel del Delegado de Protección de Datos (Data Protection Officer) en el Nuevo Reglamento Europeo
Es uno de los cambios más importantes y novedosos que establecen los artículo 37-39 del nuevo Reglamento Europeo de Protección de Datos. Así, el Delegado de Protección de Datos, se prevé como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos y se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Podemos definir al Delegado de Protección de Datos como la persona con capacidad y experiencia que se designa por un dirigente con competencia o por una empresa para revisar, examinar y evaluar con coherencia los resultados del tratamiento de datos de carácter personal en una entidad o empresa con el propósito de informar o dictaminar acerca de estos, realizando las observaciones y recomendaciones necesarias para mejorar su eficacia y eficiencia en su desempeño.
¿En qué casos será obligatorio contar con un Delegado de Protección de Datos?
El artículo 37.1 del Reglamento fija la obligatoriedad de su designación en estos casos:
“El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales”.
Debido a la inconcreción de muchos de sus artículos, varias de las expresiones anteriores han tenido que ser precisadas por el G29, un grupo de trabajo con vistas a clarificar el Reglamento y formado por autoridades en privacidad de todos los Estados miembros. Para empezar, “actividades principales” debe entenderse como la actividad primaria de la empresa, por lo que no se incluyen las empresas en las que el tratamiento de datos sea una función subsidiaria a su actividad central. “A gran escala”, por otro lado, es una disposición ciertamente imprecisa y que debería contener una cifra concreta. El G29 ha hecho saber que publicará umbrales que orienten al respecto. En cuanto a “seguimiento regular y sistemático”, también presente literalmente en el Reglamento, incluirá todos los modos de comportamiento online y offline.
Más allá de los organismos públicos, que queda claro que deben contar con su correspondiente DPO, en los otros dos supuestos existen algunas indeterminaciones, que, como hemos visto, han provocado que el G29 se pronuncie. La Agencia Española de Protección de Datos (AEPD) ha difundido las directrices y orientaciones realizadas por el G29, pero, si una empresa aún duda sobre si debe contar con un delegado de protección de datos, debe realizar un informe al respecto en el que analice su eventual designación.
El artículo 37, en sus puntos 5 y 6, establece que el DPO será designado o contratado según su capacidad para ejercer las atribuciones fijadas, a partir de sus cualidades profesionales y, concretamente, de sus conocimientos en materia de Derecho y protección de datos. Ser jurista es por lo tanto, una pieza clave y fundamental para la adaptación al nuevo Reglamento Europeo de Protección de Datos.
Es importante recalcar que el delegado de protección de datos puede ser contratado externamente para realizar este servicio, pero también puede ser designado como tal entre el personal laboral que se encuentra ya en la plantilla de la empresa, siempre y cuando reúna los requisitos enunciados.
No Comments