Data Protection Officer
¿Qué normativa regula la figura del DPD?
Esta figura estaba ya prevista, con el nombre de encargado de la protección de datos personales, en la Directiva 95/46/CE, si bien España no optó por la misma. Desde el 25 de mayo de 2018, fecha en la que se aplica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la citada Directiva, las organizaciones, tanto públicas como privadas, en determinados supuestos, tienen obligación de designar a un DPD, pudiendo hacerlo de forma voluntaria en los demás casos.
¿Cómo se designa el DPD?
La designación del DPD tendrá que producirse por el responsable o por el encargado del tratamiento de manera obligatoria en determinados casos y, en los demás casos, de manera voluntaria.
En cuanto a los casos en los que tiene que ser designado de manera obligatoria son los relativos a:
- • Administraciones Públicas: lo que incluye a cualquier autoridad u organismo público, lleve a cabo el tratamiento de datos personales, con la excepción de los tribunales cuando estos traten datos personales en el ejercicio de sus funciones judiciales, por ejemplo, cuando dictan una sentencia o desempeñan otras funciones relacionadas con la impartición de justicia.
En este caso, varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y tamaño, podrán designar a un único DPD.
- • Empresas y otras organizaciones del sector privado, cuando:
- a) Las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento:
- 1) En razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
- 2) a gran escala de categorías especiales de datos personales (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.
- b) El Derecho de la Unión Europea lo exija. Por ejemplo, salvo los tribunales en el ejercicio de sus funciones judiciales, cuando la policía trata datos personales para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, en virtud de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
- c) El Derecho nacional lo requiera, ya sea la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) u otra norma relativa a protección de datos personales. En concreto, el artículo 34 de la LOPDGDD incluye un listado de entidades en las que, en todo caso, los responsables y encargados del tratamiento, según corresponda, tendrán que designar a un DPD, tal como los colegios profesionales y sus consejos generales, los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio o las entidades aseguradoras y reaseguradoras.
En cualquiera de estos casos, la organización que designe al DPD lo comunicará a la autoridad de protección de datos personales. En el caso de la Agencia Española de Protección de Datos cabe señalar que ha establecido al respecto un sistema de notificación electrónica.
Sin perjuicio de los casos anteriores, un responsable o un encargado del tratamiento del sector privado o una asociación u otro organismo que represente a categorías de los mismos como, por ejemplo, la del sector de comercio electrónico, etc., podrán, de manera voluntaria, designar a un DPD. Cuando sea así, dicho DPD tendrá que tener las mismas garantías y desempeñar las mismas funciones que el DPD que hubiera sido designado de manera obligatoria.
¿Qué perfil debe tener el DPD?
El DPD puede ser cualquier persona, sea abogado o no, que atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
Esto significa que debe tener un conocimiento especializado, tanto en materia de protección de datos personales como de los tratamientos que lleve a cabo la organización, ya sea una Administración Pública como una organización del sector público, que le designe.
Su contratación puede producirse tanto sobre la base de una relación laboral o en el marco de un contrato de servicios, es decir, mercantil.
¿Qué funciones y tareas desempeña el DPD?
El DPD, como mínimo, desempeñará las siguientes funciones:
- a) Informar y asesorar sobre sus obligaciones en materia de protección de datos personales conforme a la normativa europea o nacional:
- - Al responsable o al encargado del tratamiento;
- - A los empleados que, en cualquiera de los dos casos anteriores, es decir, bajo la autoridad del responsable o encargado, traten datos personales.
- b) Supervisar el cumplimiento de la normativa, europea o nacional, sobre protección de datos personales, así como de las políticas de protección de datos que, en su caso, hayan adoptado el responsable o el encargado del tratamiento, para cumplir con dicha normativa. Esta supervisión incluirá también, entre otras cuestiones, la asignación de responsabilidades en la organización en materia de protección de datos, la concienciación y formación del personal que participa en el tratamiento de los datos personales, y las auditorías que se lleven a cabo para verificar el cumplimiento en la materia.
- c) Asesorar al responsable del tratamiento sobre la realización de la evaluación de impacto relativa a la protección de datos personales y supervisar su aplicación;
- d) Cooperar con la autoridad de protección de datos personales en relación con cualquier solicitud de información o en el ejercicio de las funciones que estas tienen;
- e) Actuar como punto de contacto de la autoridad de protección de datos personales para cuestiones relativas al tratamiento, incluida la consulta previa en caso de que el riesgo residual después de realizar una evaluación de impacto relativa a la protección de datos sea alto, así como cuando el responsable o encargado del tratamiento realice cualquier consulta ante dicha autoridad.
- f) Intervenir en caso de reclamación ante las autoridades de protección de datos para, en su caso, mediar en los casos en los que se produzca una reclamación contra el responsable o encargado del tratamiento y previamente a la presentación de la reclamación ante la autoridad de control competente. Se trata de una función adicional incluida en la LOPDGDD.
El DPD también gestionará, ya que las personas físicas cuyos datos personales son objeto de tratamiento podrán ponerse en contacto con el mismo, cualquier cuestión relacionada con el tratamiento o el ejercicio de sus derechos.
En el desempeño de estas funciones el DPD tendrá en consideración el riesgo que implique el tratamiento de los datos personales, de manera que la priorizará atendiendo a la naturaleza, el alcance, el contexto y los fines del tratamiento.
Estas funciones, en su caso, pueden concretarse en diversas tareas. Al respecto, la Agencia Española de Protección de Datos ha indicado, en el esquema de certificación AEPD-DPD, que el DPD puede desempeñar, por ejemplo, tareas consistentes en:
- • Identificar las bases jurídicas de los tratamientos.
- • Valorar la compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- • Determinar la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específico distintas de las establecidas por la normativa general de protección de datos.
- • Identificar los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
¿Qué posición tiene el DPD?
Ya sea en el caso del responsable o del encargado del tratamiento, el DPD deberá ser designado y tener una posición de manera que, por lo que se refiere a sus funciones, pueda reportar directamente al más alto nivel jerárquico.
De lo que se trata es de que el DPD tenga garantizado que pueda desempeñar sus funciones de manera independiente, sin injerencia alguna, y de que el responsable o el encargado del tratamiento que lo haya designado garanticen que:
- • Participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales;
- • Tenga los recursos necesarios para el desempeño de sus funciones, incluyendo el acceso necesario a los datos personales y a los tratamientos que se lleven a cabo;
- • Pueda mantener sus conocimientos especializados en materia de protección de datos personales;
- • No reciba ninguna instrucción en el desempeño de sus funciones, y
- • Que en caso de que desempeñe otras funciones y cometidos no den lugar a un conflicto de interés, ya sea, por ejemplo, por la imposibilidad de realizar sus funciones de manera adecuada o porque tome decisiones sobre el tratamiento de los datos personales, lo que implicaría que ya no pueda supervisar el cumplimiento en materia de protección de datos personales.
Este estatuto jurídico del DPD implica también que el mismo no pueda ser desempeñado por el desempeño de sus funciones, sin perjuicio de que el despido o la rescisión de su contrato sea procedente si comete alguna infracción que sí sea sancionable por cualquier otro motivo.
¿Es obligatoria la certificación para ser nombrado DPD?
La certificación del DPD es voluntaria. Al respecto, la Agencia Española de Protección de Datos ha sido la primera en la Unión Europea en crear un Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD-DPD). El objetivo de este esquema es ofrecer seguridad y fiabilidad, en particular, a quienes van a designar, de manera obligatoria o voluntaria, a un DPD.
En el marco de este esquema de certificación, un DPD podrá ser certificado por una entidad de certificación que haya sido acreditada por la Entidad Nacional de Acreditación (ENAC), que es la única entidad designada en España para actuar como único Organismo Nacional de Acreditación en virtud de la normativa europea aplicable (Reglamento (CE) no 765/2008).
En concreto, quienes obtengan esta certificación tendrán que cumplir con los requisitos del esquema AEPD-DPD. En particular, tendrán los derechos a hacer uso del certificado para desempeñar su actividad profesional, beneficiarse de las actividades de divulgación y promoción que lleve a cabo la entidad de certificación, así como reclamar y recurrir cualquier decisión desfavorable. Y también tendrán que cumplir, entre otras, con las obligaciones de respetar el esquema, respetar el Código Ético, colaborar con la entidad de certificación en las actividades de supervisión de su actuación necesarias para el mantenimiento y renovación de la certificación o colaborar con la entidad de certificación en las actividades de supervisión de su actuación necesarias para el mantenimiento y renovación de la certificación.
¿Qué infracciones puede cometer el DPD?
La falta de designación de un DPD en los casos en los que sea obligatorio supondría una infracción de la normativa sobre protección de datos personales que, conforme al artículo 83.4.a) del RGPD, podría implicar una multa administrativa (económica) para el responsable o encargado del tratamiento del sector privado de diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Al respecto, el artículo 73 de la LOPDGDD califica esta infracción como grave, lo que podría dar lugar a la imposición de una sanción por importe comprendido entre 40.001 y 300.000 euros y quedando sujeta a su prescripción a los dos años. Igualmente, supondría la comisión de una infracción grave no posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales como ya se ha mencionado.
Recuerde que...
- • El DPD es quien supervisa el cumplimiento de la normativa sobre protección de datos personales.
- • Quien designe a un DPD tiene que garantizar su independencia y que pueda desempeñar sus funciones de manera adecuada.
- • La designación se producirá ateniendo a sus conocimientos en materia de protección de datos personales y a su capacidad para desempeñar sus funciones, siendo su voluntaria su certificación.