EL DELEGADO DE PROTECCIÓN DE DATOS (DPD): COORDINACIÓN Y FUNCIONES

1.  INTRODUCCIÓN

 

El Reglamento General de Protección de Datos (en adelante RGPD) ofrece un marco de cumplimiento normativo más actual y moderno en el que la rendición de cuentas es su pilar fundamental. Los Delegados de Protección de Datos (en adelante DPD) son el elemento nuclear y una de las novedades para favorecer el cumplimiento normativo.

 

El DPD es obligatorio para responsables y encargados de tratamiento de organismos públicos, para empresas que traten datos a gran escala, traten las categorías especiales de datos o datos considerados sensibles. El Grupo de Trabajo del Artículo 29 considera útil tener un DPD de manera voluntaria para facilitar el cumplimiento con el RGPD.

 

2. DESIGNACIÓN OBLIGATORIA DE UN DPD

 

El responsable y encargado del tratamiento designaran un DPD en tres casos específicos:

 

1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.

El Grupo de Trabajo de Artículo 29 recomienda que las organizaciones privadas que llevan a cabo tareas o ejercen autoridad pública designen un DPD y que la actividad de dicho DPD cubra también todas las operaciones de tratamiento llevadas a cabo, incluidas las que no estén relacionadas con el desempeño de una tarea o función pública.

 

    2.  Cuando las actividades principales sean el seguimiento regular y sistemático a gran escala de los interesados.

Las actividades principales son las actividades clave para lograr los objetivos del responsable o del encargado de tratamiento. La controversia surge cuando el tratamiento de datos no sea la actividad principal, pero si forme parte intrínseca de la actividad, véase por ejemplo un hospital, la actividad principal es prestar cuidados a los enfermos pero sin los datos de los pacientes no se podría prestar. En esos supuestos si sería necesario designar un DPD.

Para determinar si el tratamiento es no a gran escala se debe tener en cuenta:

• Número de interesados involucrados.
• Volumen de datos o el abanico de los diferentes conceptos de datos que se procesan.
• La duración, o permanencia, de la actividad de tratamiento de datos.
• Alcance geográfico de la actividad de tratamiento.

 

Ejemplos de tratamientos a gran escala:

• Tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de internet.
• Pacientes de un hospital.
• Geolocalización de clientes mediante app cadena de comida rápida.
• Tarjetas de transporte.
• Clientes de seguros o un banco.
• Publicidad comportamental.

 

3.  Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (raza, ideología, creencia, pertenencia a sindicatos, datos genéticos o biométricos, datos de salud y vida sexual) o datos personales relacionados con condenas y delitos penales.

 

En caso de que no resulte obvio que no se necesita un DPD es aconsejable que el responsable y el encargado se pongan en contacto con profesionales en la materia para que se realice un análisis interno del tratamiento de datos en la empresa y así determinar si debe haber o no DPD.

 

NOTA ACLARATIVA 1. Las empresas, que no estén obligadas a nombrar un DPD, ni opten por asignarlo de manera voluntaria, suelen tener asesores en tareas relacionadas con la protección de datos, es importante aclarar su cargo, estatus, puesto y tareas  para que ante cualquier comunicación dentro de la empresa, así como con las autoridades de protección de datos quede claro que el cargo es de asesor y no de DPD.

 

NOTA ACLARATIVA 2.   El tratamiento de datos por parte de un médico o los tratamientos de condenas o delitos por un abogado no se considera tratamiento a gran escala.

 

 

 

 

 

2.1 Designación de un DPD para varias organizaciones

 

El RGPD nos permite que un grupo empresarial pueda designar a un único DPD siempre y cuando sea fácilmente accesible desde cada establecimiento. La noción de accesibilidad se refiere a las tareas del DPD como punto de contacto respecto de los interesados y la autoridad supervisora, pero también internamente dentro de la organización, teniendo en cuenta que como veremos a continuación una de las tareas del DPD es informar y asesorar al responsable y al encargado de tratamiento así como a los empleados que llevan a cabo el tratamiento sobre sus obligaciones con arreglo al RGPD.

 

 

2.2  Entidades que deberán tener  DPD

Deberán designar un DPD las siguientes entidades:

• Colegios profesionales y sus consejos generales.
• Centros docentes regulados bajo la Ley Orgánica 2/2006.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
• Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios .
• Entidades de ordenación supervisión y solvencia de entidades de crédito.
• Establecimientos financieros de crédito regulados en la Ley 5/2015.
• Entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015.
• Las empresas de servicios de inversión.
• Los distribuidores y comercializadores de energía eléctrica.
• Los sujetos obligados de la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.
• Las entidades que lleven a cabo publicidad y prospección comercial cuando traten las preferencias de los afectados.
• Centros sanitarios con arreglo a lo dispuesto en la Ley 41/2002.
• Entidades que tengan como uno de sus objetivos la emisión de informes comerciales sobre las personas y empresas.
• Los operadores que desarrollen las actividades de juego por canales electrónicos o interactivos.
• Quienes desempeñen actividades reguladas por el título II de la Ley 5/2014 .

 

 

 

 

 

 

 

 

 

 

3. CONOCIMIENTOS Y DESTREZAS DEL DPD

El RGPD estipula que el DPD se designará en función de la cualificación profesional y especial de su conocimiento experto en la legislación y las prácticas de protección de datos así como su capacidad para desempeñar sus tareas.

El nivel de conocimiento no está definido pero debe ser acorde con el carácter sensible, la complejidad y la cantidad de datos que procesa una organización.

En el RGPD no encontramos nada acerca de la cualificación profesional  pero es importante que el DPD tenga conocimiento de las leyes y prácticas de protección de datos tanto nacionales como europeas y una comprensión profunda del RGPD. También será importante que el DPD sea conocedor del tratamiento de datos que se haga en el sector empresarial y la organización.

 

 

3.1  Esquema de certificación como DPD

La Agencia Española de Protección de Datos (en adelante AEPD)  ha regulado el funcionamiento del Esquema de Certificación de Personas para ser DPD. La AEPD ha considerado que la certificación de personas como DPD es una herramienta válida para evaluar de manera objetiva e imparcial las competencias para ser DPD. Un certificado como DPD proporciona al mercado una información útil y contrastada sobre los criterios aplicados para obtener esta certificación profesional. La AEPD como propietaria del esquema se responsabiliza de su desarrollo y revisión a través de un Comité Técnico. A través del mencionado comité la AEPD  fija los criterios para que la Entidad Nacional de Acreditación (en adelante ENAC) otorgue las entidades que pueden ser certificadoras.

 

4. FUNCIONES DEL DPD

El DPD tendrá como mínimo las siguientes funciones:

1. Informar y asesorar al responsable, al encargado y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben.
2. Supervisar el cumplimiento de lo dispuesto en el RGPD o en otras disposiciones de protección de datos de la Unión o de los estados miembros y de las políticas del responsable y del encargado en materia de protección de datos, en la asignación de responsabilidades, la concienciación y formación del personal y las auditorías correspondientes.
3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto y supervisar su aplicación.
4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto entre la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art 36 y cualquier otro tipo de consulta.

 

Con las funciones anteriores el DPD deberá ser capaz de:

1. Recabar información para determinar las actividades de tratamiento.
2. Analizar y comprobar las actividades de tratamiento.
3. Informar, asesorar y emitir recomendaciones.
4. Recabar información para supervisar el registro de las operaciones de tratamiento.
5. Asesorar para que se cumplan los principios de privacidad por defecto y por diseño.
6. Asesorar sobre si debe llevar a cabo un evaluación de impacto, sobre cómo y qué metodología utilizar para llevar a cabo la evaluación de impacto, si se debe llevar de manera externa o interna y controlar que se haya efectuado correctament
7. Asesorar sobre las medidas técnicas a implementar para reducir el riesgo.
8. Decidir si se puede continuar adelante con el tratamiento o no.
9. Asesorar sobre la necesidad de realizar auditoria y si debe ser de manera interna o externa.
10. Crear actividades de formación

 

Las  funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:

 

1. Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
2. Identificación de las bases jurídicas de los tratamientos.
3. Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
4. Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
5. Diseño e implantación de medidas de información a los afectados por los tratamientos de datos .
6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable encargado.
9. Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia .
10. Diseño e implantación de políticas de protección de datos .
11. Auditoría de protección de datos .
12. Establecimiento y gestión de los registros de actividades de tratamiento .
13. Análisis de riesgo de los tratamientos realizados .
14. Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos .
15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos .
16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados .
17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos .
18. Coordinación de evaluaciones de impacto sobre la protección de datos.
19. Relaciones con las autoridades de supervisión
20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

 

4.1 Papel del DPD en una evaluación de impacto

Acorde con el art 35 del RGPD será tarea del responsable del tratamiento, no del DPD, llevar a cabo cuando sea preciso, una evaluación de impacto en la protección de datos.

El DPD debe tener un papel muy importante en la evaluación de impacto asesorando al responsable sobre:

 

1. Si se debe llevar a cabo o no.
2. Metodología para llevarla a acabo.
3. Si se debe realizar con recursos propios o no.
4. Salvaguardas para mitigar cualquier riesgo.
5. Si se ha llevado a cabo correctamente.

 

4.2 Papel del DPD en el mantenimiento de registros

Acorde con el art 30 apartado 1 y 2  del RGPD será tarea del responsable del tratamiento o del encargado, no del DPD, mantener un registro de las operaciones de tratamiento de las que es el responsable o mantener un registro de todas las categorías de actividades de tratamiento llevadas a cabo en nombre del responsable de tratamiento

El DPD elaborará un inventario y mantener un registro de las operaciones de tratamiento basados en la información que les proporcione los diversos departamentos de la empresa u organización.

Nada impide que el responsable o el encargado del tratamiento asigne al DPD para que lleve a cabo la tarea de mantener el registro de las operaciones tratamiento que son cometido del responsable del tratamiento.

 

5. PUESTO DEL DPD

El responsable y el encargado de tratamiento deberán garantizar que el DPD se involucre y garantice de manera adecuada y oportuna, en todas las cuestiones que guarden relación con la protección de datos personales. Garantizar que se informe y se consulte al DPD desde el principio del tratamiento facilitará el cumplimiento del RGPD, asegurará un enfoque de privacidad por diseño.

EL DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD, no podrá ser removido ni sancionado por desempeñar sus funciones. Los DPD podrán desempeñar otras tareas y funciones siempre y cuando no deriven en un conflicto de interés, los cargos que por regla general pueden detentar un conflicto de intereses son puestos de alta dirección  (director ejecutivo, director de operaciones, director económico financiero, director médico, jefe del departamento de marketing, director de RRHH o jefe del departamento de TI ) pero también otros puestos inferiores en la estructura organizativa si tales cargos o funciones llevan a la determinación de los fines y medios del tratamiento.

El DPD debe ser percibido como un interlocutor dentro de la organización y deberá formar parte de los grupos de trabajo que afecten a los datos de la organización.

La organización debe garantizar que el DPD:

• Participe en las reuniones con altos y medios directivos.
• Esté presente a la hora de tomar decisiones que impliquen al tratamiento de datos personales.
• En caso de que no se siga el consejo del DPD se deberán motivar las razones.
• Consultar con prontitud al DPD una vez que se produzca una violación de seguridad.

 

5.1  Recursos necesarios

Se le debe entregar al DPD todos los recursos necesarios para que pueda llevar a cabo sus tareas. En especial los siguientes aspectos:

• Apoyo activo a sus funciones.
• Tiempo suficiente para que pueda cumplir con sus funciones.
• Apoyo adecuado en cuanto a recursos económicos, infraestructura (locales, instalaciones, equipos) y personal donde sea pertinente.
• Comunicación oficial del DPD a toda la organización para que todos conozcan sus funciones.
• Acceso necesario a otros servicios , tales como RRHH, departamento jurídico, TI etc.

 

6. PUBLICACIÓN Y COMUNICACIÓN DE LOS DATOS DE CONTACTO DEL DPD

El art 27 del RGPD exige que el responsable y el encargado de tratamiento:

• Publique los datos de contacto del DPD.
• Comunique los datos de contacto a las autoridades supervisoras correspondientes.

La finalidad de estos requerimientos es garantizar que los interesados y las autoridades supervisoras puedan ponerse en contacto de forma rápida, fácil, directa y confidencial con el DPD sin tener que contactar con otra área de la organización.

Recomiendo ir pensando en  introducir en su página web como en la intranet de la empresa y circulares internas los datos de contacto del DPD para que las comunicaciones con las autoridades de control y con los interesados sea mas rápida y efectiva.