Desde que se anunció la entrada en vigor del Reglamento General de Protección de Datos (RGPD), una de las confusiones más extendidas es la obligatoriedad de todas las empresas de contratar a un experto al que designarle la figura de delegado de protección de datos.
La figura de delegado de protección de datos constituye:
- Uno de los elementos claves del RGPD
- Un garante del cumplimiento de la normativa de protección de datos en las organizaciones. Figura que no sustituye las funciones que desarrollan las Autoridades de Control.
Sin embargo y a pesar de que el RGPD incorpora compromisos en materia de privacidad y protección de datos aplicables a todas las empresas por igual, la incorporación del delegado de protección de datos no es uno de ellos.
La normativa europea regula la figura del Delegado de Protección de Datos en su artículo 37 estableciendo que:
El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
- El tratamiento lo lleve a cabo una autoridad u organismo público. Excepto los tribunales que actúen en ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Delegado de Protección de Datos para «actividades principales»
Cuando se refieren a las “actividades principales del responsable o el encargado del tratamiento” hablan de la actividad primaria de la empresa. No hablan sobre aquellas en las que el tratamiento de datos sea una función auxiliar.
Se deducirá que estamos ante una actividad principal cuando:
- El tratamiento de datos sea el objetivo fundamental de la actividad. Por ejemplo una empresa que trata perfiles laborales.
- Cuando el tratamiento de los datos resulte parte intrínseca de la actuación de la empresa. Por ejemplo dos casos opuestos:
- Sí necesitaría contratar un DPO: Un hospital. La finalidad principal del hospital es la prestación de servicios sanitarios. Sin embargo, éstos servicios no podrían prestarse sin operar con los datos de los pacientes.
- Sí necesitaría contratar un DPO: el procesamiento de datos de los empleados necesario para el pago de nóminas. Esta actividad sería auxiliar a la principal.
Delegado de Protección de Datos para tratamiento «a gran escala»
El Reglamento no puntualiza una cifra de datos tratados que permita considerar que el tratamiento es “a gran escala”.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son:
- La cantidad de personas afectadas (en número o en proporción)
- El volumen de datos o el abanico de diferentes conceptos de datos que se procesan
- La duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
Delegado de Protección de Datos para tratamiento de datos que requieran una observación habitual y sistemática
- Al hablar de seguimiento se debe entender todas las formas posibles de seguimiento y creación de perfiles en Internet. Incluso a efectos de publicidad basada en el comportamiento.
- Por su parte, el uso del término regular se refiere el que se realice de forma continuada
- Por último de forma sistemática. Aquel seguimiento que se produzca de acuerdo a un sistema; preestablecido, organizado o metódico.
Cuál debe ser el perfil de un Delegado de Protección de Datos (DPD)
El delegado de protección de datos puede formar parte de tu plantilla o externalizar el servicio.
No obstante, el DPD ha de ser nombrado atendiendo.
- A sus cualificaciones profesionales
- A su conocimiento de la legislación y la práctica de la protección de datos.
Aunque no debe tener una titulación específica, los conocimientos jurídicos en la materia son sin duda necesarios. Igualmente, también es necesario contar con conocimientos en materia de tecnología aplicada al tratamiento de datos. O en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.
Las funciones del delegado de protección de datos serán:
- Informar al responsable o a los responsables del tratamiento de datos sus obligaciones en el tratamiento.
- Supervisar el correcto cumplimiento de la normativa y las labores derivadas de la misma. Ejemplo: la asignación de responsabilidades o la formación del personal.
- Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa.
- Colaborar con la autoridad de control comunitaria y nacional. Autoridad encargada de velar por la aplicación de la normativa y ser punto de contacto.
La Agencia Española de Protección de Datos ha lanzado ya un esquema de certificación de Delegados de Protección de Datos.
Además, los responsables del tratamiento en las empresas han de comunicar en un plazo de diez días a la AEPD el nombramiento del delegado de protección de datos.
¿Qué dice el Proyecto de la Ley General de Protección de Datos (PLOPD) ?
Su artículo 34 detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:
Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada