El Delegado de Protección de Datos o DPO es una figura clave en el cumplimiento del RGPD y de la ley de protección de datos. Explicaremos con detalle el perfil profesional del DPO, los supuestos de designación obligatoria y sus funciones, así como el Esquema para certificación de Delegados de Protección de Datos.
Introducción a la figura del Delegado de Protección de Datos, DPD o DPO
Para comprender en toda profundidad el cambio experimentado en el perfil y en la configuración funcional del DPO después del Reglamento General de Protección de Datos, deslindaremos al DPD de otras figuras similares y nos concentraremos en su «estatuto» propio ubicándo al Delegado de Protección de Datos en los supuestos donde sea preceptivo su nombramiento.
El nombramiento del DPD, en aquellas entidades que estén obligadas a designarlo, es una de las fases más importantes de la hoja de ruta para la adaptación al RGPD.
Régimen jurídico del Delegado de Protección de Datos
El Reglamento General de Protección de Datos dedica al DPD la Sección 4 del Capítulo IV (artículos 37 a 39).
Este régimen jurídico aplica a los Delegados de Protección de Datos cuya designación sea preceptiva o voluntaria.
De conformidad con las directrices emitidas por el WP29 (Grupo de Trabajo del Artículo 29 y hoy Comité Europeo de Protección de Datos) sobre la figura del DPO:
“When an organisation designates a DPO on a voluntary basis, the requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.”
Por su parte, la figura del Delegado de Protección de Datos se regula en el Capítulo III de la Ley Orgánica de Protección de Datos de 2018 (LOPDGDD), donde se precisa con algo más de detalle las entidades y empresas obligadas a nombrar un DPD.
El Delegado de Protección de Datos antes del RGPD
El RGPD no crea al Delegado de Protección de Datos, pero dota al DPD de auténtica carta de naturaleza y le otorga un estatuto clave en el organigrama de las organizaciones que pretendan una adaptación proactiva a la ley de protección de datos.
El DPD (Delegado de Protección de Datos) ya era nombrado en algunas organizaciones pero era una figura más asimilable al Security Officer o también al actual CDO (Chief Data Officer), en el que encajaban mejor los perfiles técnico-informáticos que los jurídicos.
El Delegado de Protección de Datos tal y como está configurado por el Reglamento General de Protección de Datos, ha de ser una figura nombrada en atención a sus cualidades profesionales, pero en particular, con foco en “sus conocimientos especializados del Derecho y la práctica en materia de protección de datos”, y también en “su capacidad para desempeñar las funciones” relativas a informe, asesoramiento, cooperación y otras citadas en el artículo 39 del RGPD.
Como decimos, si bien la Directiva 95/46/CE no contempla una exigencia generalizada de existencia del Delegado de Protección de Datos en las organizaciones (salvo para algunas instituciones europeas), es cierto que la Directiva ya contenía una previsión sobre la existencia de la figura.
Igualmente hay países del entorno europeo que en los años previos a la entrada en vigor del Reglamento Europeo de Protección de Datos tenían ya una cultura del DPO precisamente por la previsión de la Directiva 95/46 relativa a que la figura del Delegado de Protección de Datos se desarrollase por las normativas estatales.
Ahora, el Reglamento 2016/679 prevé para todos los países del entorno europeo determinados supuestos de designación obligatoria del Delegado de Protección de Datos, con lo que dicha figura viene a ser una pieza indispensable en el esquema de cumplimiento proactivo y también en las relaciones de la organización responsable del tratamiento con la respectiva autoridad de control.
¿Cuándo hay que nombrar un Delegado de Protección de Datos?
De conformidad con lo dispuesto en el Reglamento General de Protección de Datos, la obligación de designar un Delegado de Protección de Datos incumbe a responsables de tratamiento o a encargados de tratamiento en estos supuestos:
1️⃣Si el tratamiento de datos personales se lleva a cabo por una autoridad u organismo público (exceptuando la labor de jueces y tribunales en el ejercicio de su función judicial).
Nota: Consideramos que esta obligación de designar un DPO debería hacerse extensiva a aquellas empresas y organizaciones de naturaleza privada que presten servicios o realicen encargos para tratar los datos bajo responsabilidad de un organismo o administración pública.
2️⃣Cuando las actividades principales de tratamiento requieran una observación habitual y sistemática de interesados a gran escala.
En este supuesto de nombramiento obligatorio del DPD, como vemos el RGPD encadena dos conceptos jurídicos indeterminados.
El Grupo de Trabajo del Artículo 29 (el actual Comité Europeo de Protección de Datos) ha tratado de arrojar luz sobre el concepto de “observación habitual y sistemática de interesados” con ejemplos concretos, y sobre el concepto de “gran escala” con una serie de criterios que sigue sin convencer a los juristas especializados en protección de datos personales.
Entre los criterios elegidos para acercarse al concepto de “gran escala” el WP29 aludió al número de interesados concernidos por el tratamiento de datos (bien en número concreto o como expresión de porcentaje de la población afectada), el volumen de datos tratados o la extensión del perímetro de tratamiento a múltiples categorías de datos, la duración o permanencia de la actividad de tratamiento, e incluso la extensión geográfica del procesamiento de datos.
3️⃣Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.
Como vemos, en este supuesto de designación preceptiva del DPD, aparece de nuevo el concepto de “gran escala”.
La Razón 91 del RGPD descarta la consideración de “gran escala” de los tratamientos de datos sensibles realizados, por ejemplo, por un solo profesional de la salud o un solo abogado.
Por lo que parece que en el concepto de “gran escala” además de los criterios antes mencionados también es un factor relevante el tamaño de la organización que realiza el procesamiento de datos personales.
¿Qué dice la nueva LOPD sobre la designación obligatoria del DPD?
El artículo 34.1 de Ley Orgánica de Protección de Datos y garantía de derechos digitales de 2018 (LOPDGDD) contempla hasta 16 supuestos de entidades obligadas a nombrar un Delegado de Protección de Datos:
📎 Los colegios profesionales y sus consejos generales.
📎 Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
📎Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
📎 Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
📎Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
📎 Los establecimientos financieros de crédito.
📎 Las entidades aseguradoras y reaseguradoras.
📎 Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
📎Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
📎 Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
📎 Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
📎Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
📎 Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
📎 Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
📎 Las empresas de seguridad privada.
📎 Las federaciones deportivas cuando traten datos de menores de edad.
Funciones del Delegado de Protección de Datos
El DPD tiene como funciones principales las siguientes:
🔖 Asesosar e informar a responsables y encargados de tratamiento
🔖 Supervisa el cumplimiento de la ley de protección de datos (RGPD, LOPD)
🔖 Coopera y hace funciones de enlace o punto de contacto de la organización o empresa con la Agencia Española de Protección de Datos
🔖 Se encarga y/o coordina la atención a los interesados: dudas sobre el tratamiento, ejercicio de derechos de protección de datos, etc.
✅El artículo 39.2 del Reglamento General de Protección de Datos encomienda al Delegado de Protección de Datos el ejercicio de sus funciones enfocándose principalmente en los riesgos asociados a las operaciones de tratamiento.
Posteriormente, el documento sobre el Esquema AEPD-DPD emitido por la Agencia Española de Protección de Datos considera entre las capacidades esenciales que debe reunir el Delegado de Protección de Datos las siguientes:
🔘 Recabar información para determinar las actividades de tratamiento,
🔘Analizar y comprobar la conformidad de las actividades de tratamiento, e
🔘Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento (entre ellas, las relativas a las bases de legitimación, como el consentimiento)
🔘 Recabar información para supervisar el registro de las operaciones de tratamiento.
🔘 Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.
🔘 Asesorar sobre:
– si se debe llevar a cabo o no una evaluación de impacto de la protección de datos,
– qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos,
– si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa,
– qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados,
– si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y
– si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el Reglamento.
🔘 Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
🔘 Asesorar al responsable del tratamiento sobre:
– qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos,
– qué áreas deben someterse a auditoría de protección de datos interna o externa,
– qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.
ÉTICA DE LOS DELEGADOS DE PROTECCIÓN DE DATOS
El Anexo III del citado Esquema de Certificación AEPD-DPD constituye el llamado Código Ético de los Delegados de Protección de Datos certificados conforme a dicho Esquema. Dicho Código Ético recoge un conjunto de compromisos de integridad, imparcialidad, legalidad, confidencialidad y transparencia para los profesionales ejerzan como DPD.
Requisitos para ser Delegado de Protección de Datos
Hemos visto en las funciones del DPD que esta figura se configura en la práctica como un perfil profesional que actúa como un facilitador del cumplimiento de la ley de protección de datos.
No es el encargado ni el responsable de cumplir.
Informa, asesora, supervisa, coordina a un equipo dedicado a la protección de datos, ha de tener un cierto acceso fluido con la dirección de la organización para comunicar cómo se está llevando a cabo el proceso de adaptación al RGPD.
En definitiva, el perfil del DPD se va nutriendo de diversas habilidades: de asesoría, de informe, de comunicación eficaz en la organización, de conocimiento de la particular industria o de la cultura interna, etc.
En la configuración del Delegado de Protección de Datos se puede optar por que dicha figura sea una persona o equipo de personas.
En este último caso, hay que proceder a designar ante la Agencia Española de Protección de Datos a una persona que represente al DPD colegiado.
El Considerando 97 del RGPD muestra predilección por esa “persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos” a la hora de nombrar a un Delegado de Protección de Datos.
Conclusiones sobre la figura del Delegado de Protección de Datos
Estimamos que es primordial que el DPD tenga no solo habilidades de comunicación con las diversas áreas de una empresa, así como con las figuras más técnicas del CISO o del CSO, sino sólidos conocimientos jurídicos.
La mayor parte del trabajo del Delegado de Protección de Datos tiene que ver con la ponderación jurídica de derechos e intereses de la propia compañía y los de los interesados, por ejemplo a la hora de supervisar una Evaluación de Impacto en la protección de datos o con la debida atención a dichos derechos de los afectados por el tratamiento.
Por eso somos partidarios de la elección de Delegados de Protección de Datos entre abogados o juristas con dilatada experiencia en tecnología y particularmente en aspectos digitales.
