La Unión Europea rechaza al Data Protection Officer (Delegado Protección Datos) en el Reglamento de Protección de Datos.
Aunque en los últimos tiempos el futuro Reglamento de Protección de Datos parece haberse diluido, ya que casi no hay noticias e información sobre su tramitación, gracias a @sergiocm (Sergio Carrasco) he tenido acceso a un documento que muestra la comparativa entre las propuestas planteadas por el Parlamento Europeo y lo que ha adoptado conjuntamente la Comisión y el Consejo. El documento puede descargarse en la web de edri, que han publicado al respecto una noticia bajo el título “Laked documents: European Data Protection Reform is badly broken”. Este título, lo dice todo.
Como bien es conocido, una de las principales novedades que introducía la norma era la figura del Data Protection Officer, usando para ello la experiencia adquirida por los DPO de los propios organismos de la Unión Europea, ya que tienen su propia regulación.
Inicialmente, en la propuesta de Reglamento de Protección de Datos, la figura del DPO era obligatoria para las Administraciones Públicas, cuando el tipo de tratamientos requiriesen un seguimiento de los tratamientos y los afectados, y en aquellas empresas que tuviesen más de 250 trabajadores.
El Parlamento, modificó este último apartado, de manera que la obligatoriedad recaería en aquellas empresas que en un período de 12 meses realizasen tratamientos que afectasen a más de 5.000 personas
Pues bien, en el texto consensuado por la Comisión y el Consejo, el Data Protection Officer pasa a tener un carácter meramente voluntario, tanto para el responsable del tratamiento como para el encargado del mismo, salvo que exista obligación por la propia Unión Europea o los Estados miembros.
Es decir, tanto discutir si debe ser obligatorio en función de los tratamientos o de las personas que trabajen en una empresa, que para eliminar dicha discusión, quitamos dicha obligatoriedad. De paso, para no ser discriminatorio, también en las Administraciones públicas, y lo dejamos a la mera voluntariedad, y en su caso, a que la propia Unión o los Estados miembros lo de decidan. Fin de la discusión.
Asimismo, también se le despoja de lo que formaba parte de su “Estatuto”, y más concretamente de sus funciones, ya que desaparecen todas las menciones específicas a asegurar el cumplimiento del Reglamento de Protección de Datos referentes, por ejemplo, a la privacidad por diseño, por defecto, obligaciones de documentación o la comunicación de las brechas de seguridad.
También se elimina la obligación de ser nombrado durante un período mínimo de dos años, e incluso de parte de los requisitos para ser DPO, ya que se exigía una mayor cualificación en función de los tipos de tratamientos de datos personales (por ejemplo, en el caso de datos de salud). Fuera todo.
Sus funciones quedarían reducidas a las siguientes:
- informar y asesorar al responsable o al encargado del tratamiento y a los trabajadores de las obligaciones que les incumben en virtud del presente Reglamento y del resto de normativa aplicable de los países miembros;
- supervisar el cumplimiento de las políticas del responsable o del encargado del tratamiento en materia de este Reglamento y de la normativa aplicable de los Estados miembros, concienciación, formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- aconsejar en relación con los procedimientos de evaluación de impacto de privacidad;
- supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia:
- actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento.
PD: Por ahora, sólo he tenido tiempo de leer lo referente al DPO para este post. ¡Miedito da el resto!
Foto por Tara Hunt