en General, Protección de datos de carácter personal

El delegado de protección de datos: El profesional de la privacidad que viene

Autor: Eric Gracia. Abogado Derecho.com


Una de las múltiples novedades que nos traerá el futuro Reglamento general de protección de datos (en adelante, “el Reglamento”), que actualmente se está debatiendo en el seno de la Comisión Europea, es la imposición a nivel europeo de la figura del delegado de protección de datos (en inglés, “Data protection officer”).

Si se compara esta figura con la del responsable de seguridad que establecen los artículos 95 y 109 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, rápidamente se advertirá que el responsable de seguridad tiene actualmente asignadas bastantes menos funciones, menos poder y menos independencia dentro de la organización del responsable o encargado del tratamiento que le ha designado.

Evaluar en lugar de notificar

El principal motivo de la introducción de la figura del delegado de protección de datos se encuentra en el artículo 18.2 de la Directiva 95/46/CE, que permite omitir la obligación de notificación previa de los tratamientos de datos a la autoridad de control cuando el responsable del tratamiento haya designado un encargado de protección de los datos personales (léase delegado de protección de datos) con las siguientes funciones:

– Hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de dicha Directiva, y

– llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21 de la Directiva, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

Efectivamente, hoy es algo aceptado que el hecho de notificar los ficheros y tratamientos de datos personales a las autoridades de control, obligación que en España está prevista en el artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no contribuye especialmente a mejorar la protección de datos personales. De hecho, el número y tipología de ficheros que una empresa u organismo pueda tener inscritos en el Registro General de Protección de Datos pueden fácilmente no reflejar la realidad de los tratamientos de datos llevados a cabo por la misma, cosa que en muchos casos resulta evidente.

Por todo ello, el futuro Reglamento sustituye dicha obligación formalista por la de realizar una previa evaluación del impacto de cada tratamiento de datos. En dichas evaluaciones, las empresas y organismos deberán tener en cuenta las medidas y mecanismos necesarios para garantizar el derecho a la protección de datos y el cumplimiento del Reglamento, a los efectos de llevar a cabo de forma correcta el tratamiento.

Así, en determinados supuestos, el Reglamento obligará a dichas empresas u organismos a designar a un delegado de protección de datos que les asista en la realización de dichas evaluaciones de impacto.

A continuación se exponen algunos aspectos clave de esta nueva figura profesional en el ámbito de la protección de datos:

¿Quién estará obligado a designar a un delegado de protección de datos?

Los responsables y encargados del tratamiento estarán obligados a designar a un delegado de protección de datos cuando:

a) El tratamiento lo lleve a cabo una autoridad u organismo público (podrá designar a un único delegado para varias de sus entidades);

b) El tratamiento lo lleve a cabo una empresa con doscientos cincuenta empleados o más (los grupos de empresas podrán nombrar a un único delegado);

c) Su actividad principal consista en realizar operaciones de tratamiento que, por sus características, requieran seguir periódica y sistemáticamente a los afectados.

Además de los supuestos obligatorios enumerados, cualquier responsable o encargado podrá designar a un delegado de protección de datos de forma voluntaria.

¿Quién podrá ser delegado de protección de datos?

Aunque sus condiciones y capacitaciones concretas presumiblemente se desarrollarán con posterioridad, el Reglamento sí específica que la elección de un delegado de protección de datos deberá hacerse atendiendo a sus cualidades profesionales y, especialmente, a sus conocimientos especializados en materia de legislación y prácticas de protección de datos aplicables a cada caso particular.

¿Cómo será su relación con el responsable o encargado que le designe?

El delegado podrá mantener una relación laboral con el responsable o encargado que le designe, o bien operar por medio de un contrato de prestación de servicios. En cualquier caso, si el delegado de protección de datos desempeña otras tareas, éstas deberán ser compatibles con las propias de delegado y no podrán plantear conflictos de intereses.

De hecho, el delegado deberá ser totalmente independiente en el ejercicio de sus funciones, no pudiendo recibir ninguna instrucción al respecto. También está previsto que el delegado sólo deba reportar directamente a la dirección del responsable o encargado que le designe, de quien deberá recibir el personal, los locales, los equipamientos y demás recursos necesarios para el desempeño de sus funciones.

Por último, el delegado, que deberá designarse para un mandato mínimo de dos años y podrá ser reelegido después, sólo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones.

¿Qué funciones deberá desempeñar el delegado de protección de datos?

En general, el delegado deberá implicarse en todas las cuestiones relacionadas con la protección de datos que se susciten en el seno del responsable o encargado que le haya designado. No obstante, el Reglamento establece un conjunto de tareas mínimas que deberá realizar:

a) Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del Reglamento y documentar esta actividad y las respuestas recibidas;

b) Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes;

c) Supervisar la implementación y aplicación del Reglamento, particularmente en lo referente a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos;

d) Velar por la conservación de la documentación relativa a todas las operaciones de tratamiento efectuadas bajo la responsabilidad del responsable o el encargado del tratamiento (detallada en el artículo 28 del Reglamento);

e) Supervisar la documentación, notificación y comunicación de las violaciones de datos personales (aspectos regulados en los artículos 31 y 32 del Reglamento);

f) Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias (según lo previsto en los artículos 33 y 34 del Reglamento);

g) Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;

h) Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

¿Existirá un registro centralizado de delegados de protección de datos?

Presumiblemente sí, ya que el Reglamento especifica que además de hacer público el nombre y los datos de contacto del delegado, el responsable o encargado que lo designe deberá comunicar esta información a la autoridad de control pertinente.

En conclusión, la gran reforma que supone el Reglamento general de protección de datos regula, por fin, la figura de un verdadero profesional de la protección de datos con unas competencias, funciones e independencia claramente definidas. Esperemos que una futura mejor definición de los requisitos formativos y profesionales, junto con la posible creación de una certificación “oficial” específica al respecto, ayuden a dignificar el sector del asesoramiento en materia de protección de datos, actualmente falto de la más mínima regulación.