Reglamento Protección de Datos de la UE: hacia un Delegado de Protección de Datos (DPO) obligatorio.

Miniatura noticia

Probablemente, uno de los aspectos más importantes de la reforma europea de protección de datos, sea la regulación del Data Protection Officer (traducido como Delegado o Responsable de Protección de Datos), y sobre el que más se ha escrito analizando su estatus y funciones en los últimos tiempos.

Tras su configuración inicial, regulada en los artículos 35 a 38 de la Propuesta de Reglamento de Protección de Datos Personales, el texto aprobado en el seno de la Comisión LIBE, ha introducido cambios al respecto.

Lo primero que llama la atención, es cuándo esta figura debe ser obligatoria. Así, si bien parece que hay consenso en que debe existir un Data Protection Officer en las Administraciones públicas, así como cuando el tratamiento por parte del responsable o encargado consista en monitorizar al interesado, no lo hay en el otro supuesto, que en la Propuesta de Reglamento, exigía contar con un DPO cuando la empresa tuviese más de 250 trabajadores.

En este sentido, en el texto de la Comisión LIBE, esta última, la de los 250 trabajadores, ha sido sustituida por la siguiente:

“Cuando el tratamiento de datos realizado por la empresa afecte a más de 5000 interesados en un período de doce meses”

En el libro de Comentarios Prácticos a la Propuesta de Reglamento de Protección de Datos ya me refería a que la designación obligatoria no debía estar en relación con el número de trabajadores, sino con la categoría o tipología de los datos personales objeto de tratamiento:

“Por lo que se refiere al ámbito privado, la redacción actual de la Propuesta de Reglamento parte de que sea obligatorio cuando la empresa tenga 250 trabajadores o más, craso error desde mi punto de vista, ya que no habría que estar al número de empleados sino al tipo de datos de carácter personal tratados, y más en el caso español, en el que no tenemos grandes empresas, siendo el tejido empresarial mayoritariamente PYMES”.

Como vemos, se sustituye el número de trabajadores por el número de titulares de los datos objeto de tratamiento. Sin embargo, en cierta medida, lo cual es una auténtica novedad, la Comisión LIBE sí ha introducido que el DPO sea obligatorio dependiendo del tipo de datos que se traten, ya que el nuevo texto ha añadido un supuesto más de obligatoriedad.

Concretamente, “cuando las actividades del responsable o encargado consista en el tratamiento de categorías especiales de datos del artículo 9, datos de localización (geolocalización), así como el tratamiento de datos de menores y empleados a gran escala”.

Vayamos por partes para analizar este nuevo supuesto en que como digo, será obligatorio designar (o contratar a un DPO).

En primer lugar, las categorías especiales de datos del artículo 9, son los relativos al tratamiento de datos que puedan revelar la raza u origen étnico, opiniones políticas, religión o creencias filosóficas, orientación sexual o identidad de género, pertenencia a sindicatos, así como el tratamiento de datos genéticos, biométricos, salud, sexo, así como sanciones administrativas, judiciales, condenas penales, presuntos delitos o medidas de seguridad afines.

Sobre esta relación de tipos de datos que son enumerados en el citado artículo 9, conviene hacer las siguientes precesiones:

–      En relación al artículo 9 en la redacción dada por la Propuesta de Reglamento, la Comisión LIBE ha añadido nuevos supuestos. Concretamente, los referentes a creencias filosóficas, orientación sexual o identidad de género, datos biométricos, sanciones administrativas y judiciales, así como la comisión de presuntos delitos.

–      Grosso modo, la redacción actual coincide en gran medida con lo que en la LOPD se regula en los artículo 7 “Datos especialmente protegidos” y  artículo 8 “Datos de salud”.

–      Destaca la inclusión de los datos biométricos, que en principio, tienen el carácter de identificativos, pero a lo largo de todo el texto tanto de la Propuesta de Reglamento como el que ha salido aprobado en la Comisión LIBE, este tipo de datos se equiparan a los que conocemos en la LOPD como “especialmente protegidos”.

En resumen, podríamos concluir que estos cambios sobre cuándo debe existir un DPO, están orientados a que esta figura profesional se vaya consolidando, de forma que sea casi obligatorio en todos los sectores.

Por otra parte, y a través de las modificaciones introducidas en el Considerando 75, y el nuevo Considerando 75 a), se refuerza la posición y funciones del DPO, y se regula lo que podríamos considerar como requisitos de formación y experiencia para poder desarrollar esta labor.

De esta forma, aparece en el nuevo texto, concretamente en el citado Considerando 75, que el DPO, ya sea personal en plantilla o contratado por el responsable o encargado, incluso si es a tiempo parcial, debe estar protegido contra el despido, así como que en materia de responsabilidad, se entiende que en caso de incumplimiento, ésta recaerá en la organización (responsable o encargado). Además, se incluye que obligatoriamente, el DPO debe ser consultado con carácter previo a realizar el tratamiento de datos personales, con la finalidad de poder introducir los principios de la Privacidad por Diseño y por Defecto.

En cuanto a su formación y experiencia, se encuentra detallada con la adición del Considerando 75 a), especificando que “deberá tener un alto grado de conocimiento sobre el contenido y aplicación de la normativa de protección de datos, incluyendo la adopción de medidas técnicas y organizativas así como procedimientos; conocer los requisitos técnicos de la privacidad por diseño, por defecto y seguridad; conocer también los sectores que requieran de un conocimiento más específico cuando el responsable o encargado traten datos especialmente protegidos; la habilidad de realizar inspecciones, consultas, documentación y análisis, así como poder actuar en representación del responsable”.

Por su parte, el responsable debe permitir que el DPO pueda actualizar y mejorar sus conocimientos acudiendo a cursos de formación, que sean necesarios, además, para llevar a cabo sus funciones.

Finalmente, en el citado nuevo Considerando, se matiza que no necesariamente el DPO tenga que trabajar a tiempo completo respecto a su responsable, lo que supone, que lógicamente, un DPO pueda realizar su labor para varios responsables o encargados.

Por otra parte, en lo referente a la posición del DPO en el seno de la organización, que regula el artículo 36, también se han introducido matices. Como muchos ya sabrán, el DPO debe ejercer su actividad de forma independiente, aunque en la se pueda discutir si esa independencia es efectiva o no lo es. En aras de tratar de reforzar esta independencia, en el texto aprobado por la Comisión LIBE se ha introducido que el DPO reporta su actuación a la Dirección Ejecutiva del responsable o encargado, y que éstos, a su vez, podrán nombrar una persona dentro del staff de la citada Dirección Ejecutiva encargada del cumplimiento del Reglamento de Protección de Datos de la Unión Europea. Es decir, si seguimos el tenor literal de esta novedad, por una lado tendríamos el DPO, y por otro, este miembro de la Dirección Ejecutiva, que podría actuar como “enlace” entre el primero (el DPO) y la mencionada Dirección.

Asimismo, este artículo 36 ha introducido la obligación de secreto del DPO sobre los datos personales que conozca en el ejercicio de sus funciones, si bien, esta obligación ya se entendía consustancial a sus funciones, ya sea por la obligación general existente (recordemos el artículo 10 de la LOPD), ya sea porque está regulado en diversos sectores (por ejemplo, si el DPO fuese un funcionario en el ámbito de las AAPP).

Por último, también se ha añadido alguna función más, que están reguladas en el artículo 37. Así, a las ya conocidas, por ejemplo, de controlar el cumplimiento de las obligaciones contenidas en este Reglamento, formar al personal, documentar y notificar las brechas de seguridad, se añade las de “crear conciencia”, que más bien podemos traducir en “promocionar la cultura de protección de datos en la organización”, informar a los representantes de los trabajadores sobre el tratamiento de datos de los empleados (si acudimos al Derecho Laboral, esta función ya estaría incluida por ejemplo, a la hora de implantar un sistema biométrico de control de horario), así como verificar que se cumple lo referente a la consulta previa que regula el artículo 34. Este precepto ha sido modificado en su “finalidad”, ya que anteriormente regulaba la llamada “autorización previa” para determinados supuestos de tratamiento, mientras que actualmente aparece como “consulta previa” al DPO o la autoridad de control (si no hay DPO) cuando se den una serie de supuestos.

Por último, se elimina la delegación a favor de la Comisión Europea que contenía la Propuesta de Reglamento para que ésta desarrollase la figura del DPO.

 Serie de posts sobre el Reglamento de Protección de Datos de la Unión Europea y el documento aprobado en la Comisión LIBE:

 Reglamento de Protección de Datos UE: el consentimiento de los menores.

 Reglamento de Protección de Datos UE: derecho de información mediante iconos gráficos.

 Reglamento de Protección de Datos UE: el nuevo régimen sancionador, multas hasta 100 millones de euros.


2 comentarios

  1. Juan José Peña
    7 de enero de 2014 @ 18:14

    Hola, muy interesantes y positivas estas apreciaciones que se han hecho. Ahora solo queda que se lleven a buen puerto. Enhorabuena y gracias

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*