Hoy damos inicio a un primer boletin sobre la figura del Delegado de Protección de Datos para intentar dar un poco de luz sobre este nuevo rol que tantas dudas está generando.
En este primer capítulo, vamos a explicar que es el DPD (o DPO), cuando se debe nombrar e intentaremos aclarar algunos de los conceptos que aparecen en el RGPD acerca de esta figura.
¿Qué es un Delegado de Protección de Datos (DPD)?
El DPD, es la figura garante del cumplimiento de la normativa de protección de datos en las organizaciones. Hay que tener presente que la responsabilidad final del cumplimiento recae en el responsable o encargado.
El DPD, se nombra en base a unos conocimientos y cualidades profesionales especializados tanto en Derecho como en práctica en protección de datos, pero no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.
Es y actúa de forma independiente y entre las funciones principales que se realizará están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD. No obstante, el detalle de todas sus funciones lo desarrollaremos en el Segundo boletín de la Saga DPD “DPD II: Las funciones y responsabilidades del Delegado de protección de datos”.
¿Cuándo se debe nombrar un delegado de protección de datos?
En base a la normativa del Reglamento General de Protección de Datos 679/2016 de 27 de abril de 2016 (de ahora en adelante RGPD), los supuestos en que es obligatorio la designación de un Delegado, son:
– Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
– Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
– Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (artículo 9 del RGPD) y de datos relativos a condenas e infracciones penales (artículo 10 del RGPD).
Los Encargados o Responsables del tratamiento que cumplan con los requisitos anteriores deberán nombrar DPD, y en todo caso las siguientes organizaciones, respondiendo a la normativa que recoge el Anteproyecto de Ley Orgánica de Protección de Datos en su artículo 34:
– Los colegios profesionales y sus consejos generales.
– Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
– Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
– Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
– Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
– Los establecimientos financieros de crédito.
– Las entidades aseguradoras y reaseguradoras.
– Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
– Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
– Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
– Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
– Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
– Las entidades que tengan como uno de sus objetos la emisión de Informes comerciales que puedan referirse a personas físicas. n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
– Las empresas de seguridad privada.
– Las federaciones deportivas cuando traten datos de menores de edad.
¿Qué significan los criterios «actividad principal», «observación sistemática» y «tratamiento a gran escala»?
“Actividades principales”, pueden considerarse como las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.
*Por ejemplo, una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está ligada de manera indisociable al tratamiento de datos personales. Por tanto, esta empresa debe también designar un DPD.
«Observación habitual y sistemática» no está definida en el RGPD, por lo que el Grupo de Trabajo del articulo 29 interpreta los conceptos de la siguiente manera:
«Habitual«, varios significados:
– continuado o que se produce a intervalos concretos durante un periodo concreto
– recurrente o repetido en momentos prefijados;
– que tiene lugar de manera constante o periódica.
«Sistemático«:
– que se produce de acuerdo con un sistema;
– preestablecido, organizado o metódico;
– que tiene lugar como parte de un plan general de recogida de datos;
– llevado a cabo como parte de una estrategia.
*Por ejemplo, actividades que pueden constituir una observación habitual y sistemática de interesados son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.
«Gran escala» Tampoco el RGPD define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación. No hay una cifra exacta, en relación a la cantidad de datos procesados o al número de personas afectadas.
En cualquier caso, el citado Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
– el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
– el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
– la duración, o permanencia, de la actividad de tratamiento de datos;
– el alcance geográfico de la actividad de tratamiento.
*Por ejemplo, el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; el tratamiento de datos de geolocalización en tiempo real de clientes con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios; el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco; el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda; el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
¿Puede nombrarse un delegado de protección de datos sin ser obligatorio?
En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden proceder a nombrar un DPD.
Por tanto existe nombramiento de DPD de forma voluntaria, y se aplicarán a su designación de la misma manera que si fuese obligatorio, su puesto y sus tareas los requisitos establecidos en el RGPD y recogidos en el actual Boletín y siguientes entregas de la Saga DPD.
¿Puede existir un único delegado de protección de datos para varios responsables?
Sí. El artículo 37, apartado 2, del RGPD permite a un grupo empresarial designar un único DPD, siempre que éste «sea fácilmente accesible desde cada establecimiento».
Sus datos de contacto están disponibles de conformidad con los requisitos del RGPD.
El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control.
¿El delegado de protección de datos puede ser externo a la organización?
Sí. La función del DPD puede ejercerse bajo el marco de un contrato de servicios con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.
Para el caso de tener un DPD externo debemos tener en cuenta que éste el DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD y que esta función no represente un conflicto de intereses.
Igualmente que si fuera designada una persona interna, es importante esté protegido por las disposiciones del RGPD, como por ejemplo la que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.
¿Debe comunicarse el nombramiento de delegados de protección de datos a la AEPD?
Sí, el nombramiento de DPD de acuerdo al RGPD, debe comunicarse a la Autoridad de Control: AEPD o Autoridad de Protección de Datos autonómica en el ámbito de sus competencias. (enlace para la comunicación).
La semana que viene enviaremos el ‘capítulo II: las funciones y responsabilidades del Delegado de Protección de Datos’.