Avui iniciem un primer butlletí sobre la figura del Delegat de Protecció de Dades per intentar dona una mica de llum sobre aquest nou rol que tants dubtes està generant.
En aquest primer capítol, explicarem que és el DPD (o DPO), quan s’ha de nombrar i intentarem aclarir alguns dels conceptes que apareixen al RGPD sobre aquesta figura.
Què és un Delegat de Protecció de Dades (DPD)?
El DPD, és la figura garant del compliment de la normativa de protecció de dades en les organitzacions. Cal tenir present que la responsabilitat final del compliment recau en el responsable o encarregat.
El DPD, es nomena sobre la base d’uns coneixements i qualitats professionals especialitzats tant en Dret com en pràctica en protecció de dades, però no se li exigeix cap tipus de titulació i tampoc ha d’estar certificat.
És i actua de forma independent i entre les funcions principals que es realitzarà estan les d’informar i assessorar al responsable o encarregat del tractament a més de supervisar que compleixen amb el RGPD. No obstant això, el detall de totes les seves funcions ho desenvoluparem en el Segon butlletí de la Saga DPD “DPD II: Les funcions i responsabilitats del Delegat de protecció de dades”.
Quan s’ha de nomenar un delegat de protecció de dades?
Sobre la base de la normativa del Reglament General de Protecció de Dades 679/2016 de 27 d’abril de 2016 (d’ara endavant RGPD), els supòsits en què és obligatori la designació d’un Delegat, són:
– Quan el tractament ho dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
– Les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, a causa de la seva naturalesa, abast i/o finalitats, requereixin una observació habitual i sistemàtica d’interessats a gran escala.
– Les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories especials de dades personals (article 9 del RGPD) i de dades relatives a condemnes i infraccions penals (article 10 del RGPD).
Els Encarregats o Responsables del tractament que compleixin amb els requisits anteriors hauran de nomenar DPD, i en tot cas les següents organitzacions, responent a la normativa que recull l’Avantprojecte de Llei Orgànica de Protecció de Dades en el seu article 34:
– Els col·legis professionals i els seus consells generals.
– Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així com les Universitats públiques i privades.
– Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques conforme al que es disposa en la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.
– Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
– Les entitats incloses en l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.
– Els establiments financers de crèdit.
– Les entitats asseguradores i reasseguradores.
– Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.
– Els distribuïdors i comercialitzadores d’energia elèctrica i els distribuïdors i comercialitzadores de gas natural.
– Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
– Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les de recerca comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils dels mateixos.
– Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients. S’exceptuen els professionals de la salut que, àdhuc estant legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
– Les entitats que tinguin com un dels seus objectes l’emissió d’Informes comercials que puguin referir-se a persones físiques. n) Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme a la normativa de regulació del joc.
– Les empreses de seguretat privada.
– Les federacions esportives quan tractin dades de menors d’edat.
Què signifiquen els criteris “activitat principal”, “observació sistemàtica” i “tractament a gran escala”?
“Activitats principals”, poden considerar-se com les operacions clau necessàries per aconseguir els objectius del responsable o de l’encarregat del tractament.
*Per exemple, una empresa de seguretat privada que duu a terme la vigilància d’una sèrie de centres comercials privats i d’espais públics. La vigilància és l’activitat principal de l’empresa, que al seu torn està lligada de manera indissociable al tractament de dades personals. Per tant, aquesta empresa ha de designar un DPD.
“Observació habitual i sistemàtica” no està definida en el RGPD, per la qual cosa el Grup de Treball de l’article 29 interpreta els conceptes de la següent manera:
“Habitual”, diversos significats:
– continuat o que es produeix a intervals concrets durant un període concret;
– recurrent o repetit en moments prefixats;
– que té lloc de manera constant o periòdica.
“Sistemàtic”:
– que es produeix d’acord amb un sistema;
– preestablert, organitzat o metòdic;
– que té lloc com a part d’un pla general de recollida de dades;
– dut a terme com a part d’una estratègia.
*Per exemple, activitats que poden constituir una observació habitual i sistemàtica d’interessats són: operar una xarxa de telecomunicacions; prestar serveis de telecomunicacions; redireccionar correus electrònics; activitats de màrqueting basades en dades; elaborar de perfils i atorgar puntuació amb finalitats d’avaluació de riscos (p. ex. per determinar la qualificació crediticia, establir cosines d’assegurances, prevenir el frau, detectar blanqueig de diners); dur a terme un seguiment de la ubicació, per exemple, mitjançant aplicacions mòbils; programes de fidelitat; publicitat comportamental; seguiment de les dades de benestar, estat físic i salut mitjançant dispositius; televisió de circuit tancat; dispositius connectats, com a comptadors intel·ligents, cotxes intel·ligents, domòtica, etc.
“Gran escala” Tampoc el RGPD defineix què s’entén per tractament a gran escala, encara que el considerant 91 ofereix alguna orientació. No hi ha una xifra exacta, en relació a la quantitat de dades processades o al nombre de persones afectades.
En qualsevol cas, el citat Grup de Treball recomana que es tinguin en compte els següents factors, en particular, a l’hora de determinar si el tractament es realitza a gran escala:
– el nombre d’interessats afectats, bé com a xifra concreta o com a proporció de la població corresponent;
– el volum de dades o la varietat d’elements de dades que són objecte de tractament;
– la durada, o permanència, de l’activitat de tractament de dades;
– l’abast geogràfic de l’activitat de tractament.
*Per exemple, el tractament de dades de pacients en el desenvolupament normal de l’activitat d’un hospital; el tractament de dades de geolocalització en temps real de clients amb finalitats estadístiques per part d’un responsable del tractament especialitzat en la prestació d’aquests serveis; el tractament de dades de clients en el desenvolupament normal de l’activitat d’una companyia d’assegurances o d’un banc; el tractament de dades personals per a publicitat comportamental per un motor de cerca; el tractament de dades (contingut, tràfic, ubicació) per proveïdors de serveis de telefonia o internet.
Pot nomenar-se un delegat de protecció de dades sense ser obligatori?
En aquells supòsits en què no sigui obligatori el nomenament d’un delegat de protecció de dades (DPD), els responsables i encarregats de tractament, si així ho consideren, poden procedir a nomenar un DPD.
Per tant existeix nomenament de DPD de forma voluntària, i s’aplicaran a la seva designació de la mateixa manera que si fos obligatori, el seu lloc i les seves tasques els requisits establerts en el RGPD i recollits en l’actual Butlletí i següents lliuraments de la Saga DPD.
Pot existir un únic delegat de protecció de dades per a diversos responsables?
Sí. L’article 37, apartat 2, del RGPD permet a un grup empresarial designar un únic DPD, sempre que aquest “sigui fàcilment accessible des de cada establiment”.
Les seves dades de contacte estan disponibles de conformitat amb els requisits del RGPD.
El DPD, amb ajuda d’un equip si fos necessari, ha d’estar en condicions de comunicar-se eficaçment amb els interessats i cooperar amb les corresponents autoritats de control.
El delegat de protecció de dades pot ser extern a l’organització?
Sí. La funció del DPD pot exercir-se sota el marc d’un contracte de serveis amb una persona física o amb una entitat aliena a l’organització del responsable o de l’encarregat del tractament.
Per al cas de tenir un DPD extern hem de tenir en compte que aquest el DPD compleixi tots els requisits aplicables de la secció 4 del RGPD i que aquesta funció no representi un conflicte d’interessos.
Igualment que si fos designada una persona interna, és important estigui protegit per les disposicions del RGPD, com per exemple la que impedeixen la rescissió injustificada del contracte de serveis motivada per les activitats del DPD o la destitució improcedent del membre de l’organització que realitzi les funcions del DPD.
Ha de comunicar-se el nomenament de delegats de protecció de dades a l’AEPD?
Sí, el nomenament de DPD d’acord al RGPD, ha de comunicar-se a l’Autoritat de Control: AEPD o Autoritat de Protecció de Dades autonòmica en l’àmbit de les seves competències. (enllaç).
La semana vinent enviarem el ‘capítol II: les funcions i responsabilitats del Delegat de Protecció de Dades’.