En esta entrada vamos a tratar una de las obligaciones formales que se impone a los responsables del tratamiento (y encargados) en el RGPD y la LOPDGDD.
Conceptualización
El DPD (delegado de protección de datos) o DPO por sus siglas en inglés -data protection officer- es una figura que viene a configurarse como un encargado experto en el cumplimiento normativo en materia de privacidad con formación en derecho, y por lo general con conocimientos de tecnología y especialización en el tratamiento de datos de carácter personal y sus riesgos.
El delegado de protección de datos aparece regulado en el Reglamento UE/2016/679 -artículos 37 y ss. Una de las características que más llamará la atención es su posicionamiento en el seno interno de la compañía -en caso de ser interno-, o la importancia de su papel al relacionarse con el cliente cuando es externo. Así las cosas, el DPD se define como un enlace directo entre el más alto órgano de administración de la empresa y los managers de áreas.
Funciones del DPD
En el Reglamento se establece que como mínimo un DPD deberá de realizar:
📌Asesoramiento experto en materia de protección de datos en la gestión de una serie de tareas específicas, tales como la creación de registros de actividades de tratamiento; evaluaciones de impacto iniciales, consultas previas, etc.
📌 Supervisar el cumplimiento de las obligaciones en materia de privacidad.
📌 Cooperación como enlace entre el responsable de tratamiento y la autoridad de control (Agencia Española de Protección de Datos).
📌 Servir de punto de contacto, tanto para los organismos responsables, como para los ciudadanos afectados.
Casos de obligatoria designación
Como se ha apuntado, queda establecido en el nuevo Reglamento que, el DPD podrá ser externo o interno a la plantilla de la compañía o la empresa, de forma que las funciones o servicios de este tipo de figuras podrán desarrollarse también de una forma externa por empresas especializadas en privacidad y protección de datos.
Sin embargo, independientemente de que el DPD sea un empleado más o un servicio externalizado, deberá de cumplir con sus funciones y obligaciones con total independencia y el responsable de tratamiento deberá de asegurar la posición del DPD en todo momento.
En referencia a la obligación de designar un DPD específico para una empresa, grupo de empresas o administración pública -con independencia de que sea este interno o externo, uno o varios- ésta deberá de ser cumplida siempre que:
👉 El tratamiento de datos personales sea llevado a cabo por una autoridad u organismo público, sin inclusión de las autoridades judiciales.
👉 Las actividades de tratamiento realizadas del responsable se refieran a seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de sus datos (p.ej. ETT, marketing directo, Apps…).
👉 Se realice un tratamiento de datos a gran escala (gran cantidad de datos y/o un elevado número de personas afectado por dicho tratamiento), de categorías especiales de datos, es decir, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales, origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, etc. o datos relativos a condenas e infracciones penales (p.ej. clínicas de salud, sindicatos, partidos políticos, iglesias, gestorías, despachos de abogados, asesorías…).
Como se recoge en el propio RGPD, la LOPDGDD desarrolla y establece más casos en los que la designación de un DPD es obligatoria, entre estos podemos encontrar que deben designar DPD:
👉 las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
👉 los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
👉 los establecimientos financieros de crédito.
👉 las entidades aseguradoras y reaseguradoras.
👉 las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
👉 las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Recomendación
Si bien puede ser difícil imaginar supuestos en los que una PYME se encuentre en los tres supuestos anteriores, se recomienda siempre su designación, dada la:
📌 Complejidad legal creciente de los tratamientos de datos personales (p.e. transferencias internacionales).
📌 Mayor concienciación de los interesados sobre sus derechos y cómo proteger sus datos personales. La probabilidad de recibir reclamaciones y solicitudes de ejercicio de los derechos de los interesados irá en aumento.
📌 La protección de la privacidad de los clientes como un valor añadido.
📌 Las sanciones que pueden recaer sobre la empresa en caso de incumplimiento.
¿Es suficiente con designar al delegado de protección de datos?
No. Además de nombra un DPD interno o externo, los responsables que se encuentren en uno de los supuestos antes descritos deberán de comunicarlo a la AEPD (artículo 39.3 LOPDGDD). Asimismo, estos responsables, no sólo tendrá que comunicar el nombramiento del mismo, sino que deberán de notificar otros nombramientos o los ceses que se produzcan en relación con la figura del DPD.
Por otro lado, y ya para concluir, ha de tenerse en cuenta que la designación y comunicación a la AEPD no es el único de los requisitos que debe cumplirse, ya que atendiendo a los artículos 13 y 14 sobre el derecho a la información de los interesados (comúnmente conocido como deber de informar) deberán de publicarse en los medios online, o incluirse en todo apartado informativo sobre los tratamientos de datos, los datos de contacto de dicho DPD con el fin de que los afectados puedan ponerse directamente en contacto con éste.
Así las cosas, se recomienda cautela a la hora de nombrar o no a un DPD, puesto que como hemos visto ha de analizarse con lupa si nos encontramos o no ante uno de los supuestos contemplados en la legislación, y deberá de informarse tanto a la AEPD como a los interesados la designación y datos de contacto del mismo.
Pablo Viedma
Tech & Privacy