El Delegado de Protección de Datos en el Proyecto de Ley de Protección de Datos de Carácter Personal

Proyecto de ley de protección de datos de carácter personal: la figura del delegado de protección de datos

Desde nuestra asesoría jurídica en protección de datos, compartimos un análisis exhaustivo sobre la figura del Delegado de protección de datos.

Una de las principales novedades introducidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación (RGPD), es la figura del Delegado de Protección de Datos. Se alza como uno de los elementos centrales de este nuevo marco jurídico para un gran número de organizaciones, pese a que dicha práctica ya se desarrollaba en varios Estados miembros.

1. ¿Qué es el Delegado de Protección de Datos?

El Considerando 97 del RGPD recoge que podrá ostentar la condición de DPO una persona con conocimientos especializados en la práctica del Derecho y, particularmente, en el ámbito de la protección de datos.  Su cometido principal es informar, asesorar y supervisar el cumplimiento de lo dispuesto en la normativa vigente sobre protección de datos.

Puede tratarse de una persona física o jurídica y, sea o no empleado del responsable del tratamiento, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente sin que reciba ninguna instrucción por parte del responsable y/o encargado.

En conclusión, se trata de una figura creada para hacerla partícipe en todas las cuestiones relativas a la protección de datos personales de la empresa.

El DPO será designado atendiendo a sus cualidades profesionales y a su capacidad para desempeñar las funciones encomendadas. Es por ello que su nombramiento debe ser acorde a la sensibilidad, complejidad y cantidad de los datos que trate la organización. Se recomienda, a este respecto, que el DPO tenga un conocimiento del sector empresarial y de la actividad de la organización para poder proceder a dar cumplimiento de sus obligaciones de manera óptima.

El proyecto de Ley de Protección de Datos prevé que los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Puede consultar el listado de entidades de certificación en este enlace a la AEPD: Esquema de Certificación de DPD.

2. ¿Se ha de nombrar siempre un DPO? La incidencia del Proyecto de Ley de Protección de Datos de Carácter Personal

Para dar respuesta a esta pregunta es necesario que acudamos directamente al artículo del 37 RGPD que recoge cuándo un responsable o encargado deberá designar un delegado de protección de datos. A este respecto también es importante tener en cuenta el Proyecto de Ley de Protección de Datos que amplía de forma sustancial la obligación de nombramiento, como analizaremos con posterioridad.

Los requisitos son los siguientes:

1. El tratamiento lo debe llevar a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

El Grupo de Trabajo sobre protección de datos del Artículo 29 desarrolló unas Directrices sobre los delegados de protección de datos para esclarecer dichos requisitos.

Se recomienda consultarlo para poder realizar un análisis exhaustivo con el fin de esclarecer y conocer el trasfondo de este precepto. Aquí le dejamos este documento Grupo de Trabajo sobre Protección de Datos del Artículo 29 que la AEPD pone a su disposición.

Tal y como hemos comentado, el proyecto de Ley de Protección de Datos prevé que, además de designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del RGPD, se deberá nombrar un DPO siempre y cuando se encuentre dentro de las siguientes entidades:

• Colegios profesionales y consejos generales regulados por la LO 2/1974 sobre colegios profesionales.
• Centros docentes que ofrezcan enseñanzas reguladas por la LO 2/2006 de Educación.
• Universidades públicas y privadas.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a la Ley 9/2014 General de Telecomunicaciones cuando traten habitual y sistemáticamente datos personales a gran escala.

• Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicios.

• Entidades incluidas en el art.1 Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito.
• Establecimiento financieros de crédito regulados por el Titulo II de la Ley 5/2015 de fomento de financiación empresarial.
• Entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015 de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
• Empresas de inversión reguladas por el Título V de la Ley de Mercado de Valores.
• Distribuidores y comercializadores de energía electrónica conforme a la Ley 24/2013 del sector eléctrico.
• Distribuidores y comercializadores de gas natural conforme a la Ley 34/1998 del sector de hidrocarburos.
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el art.32 de la Ley 10/2010 de prevención de blanqueo de capitales y financiación del terrorismo.
• Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo la investigación comercial y de mercados , cuando lleven a cabo tratamientos basados en las preferencias de los usuarios o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a la Ley 41/2002 básica reguladora de la autonomía del paciente.
• Entidades que tengan como uno de sus objetivos la emisión de informes comerciales que puedan referirse a personas físicas.
• Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos conforme a la Ley 3/2011 de regulación del juego.
• Quienes desempeñen las actividades reguladas por el Titulo II de la Ley 5/2014 de Seguridad Privada.

3.  Conclusiones

Es de vital importancia tener una idea clara de cuando es obligatorio el nombramiento del DPO en nuestra organización. Actualmente, el Proyecto de Ley de Protección de Datos no es aplicable, pero se prevé su aprobación a finales de este año pese al gran número de enmiendas presentadas.

Si se encuentra dentro de los preceptos establecidos anteriormente y no se nombra un DPO se entenderá como una infracción que puede acarrear una sanción de acuerdo al RGPD y que, en el proyecto de Ley de Protección de Datos, se califica como grave. En todo caso, aunque la organización no esté obligada a ello, siempre podrá designarlo de forma voluntaria con el fin de reforzar el principio de responsabilidad proactiva.

En consecuencia, desde Grupo Adaptalia como expertos en consultoría en protección de datos, y con la finalidad de que su empresa esté correctamente adaptada al RGPD, le asesoramos en las situaciones en que es necesario nombrar un DPO.