El Delegado de Protección de datos en el GDPR
28/09/2016
12/09/2016 | FS Consultores S.L
El Delegado de Protección de Datos (DPO)
El Reglamento dedica toda la Sección 4 del Capítulo IV al Delegado de Protección de Datos especificando sus cometidos, funciones y la obligatoriedad para designarlos (artículos 37 a 39).
El DPO es la persona encargada de informar y asesorar al Responsable o Encargado del tratamiento y al personal autorizado para el tratamiento, de las obligaciones que les afectan en virtud del Reglamento (GDPR) y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados miembros de la UE.
Para cumplir este cometido, el DPO se encargará de supervisar:
- La implementación y aplicación de las políticas de protección de datos.
- La asignación de responsabilidades, concienciación y formación del personal autorizado.
- La realización de la evaluación de impacto.
- Las auditorías realizadas.
Cualquier Responsable o Encargado del tratamiento o asociación u organismo que los represente, podrán designar un DPO y autorizarle para actuar por su cuenta.
Se podrá nombrar un único DPO para varios Responsables o Encargados del tratamiento cuando se designe para representar a:
- Un grupo de empresas, siempre que sea accesible desde cada uno de los establecimientos del grupo.
- Varias entidades de un mismo Organismo público, siempre que se tenga en cuenta su estructura organizativa y su tamaño.
El DPO actuará como punto de contacto o de consulta con la Autoridad de control y deberá cooperar con ella.
¿Quién puede ser DPO?
Un DPO puede ser cualquier persona que pertenezca a la plantilla del Responsable o Encargado del tratamiento o, si es externo, en el marco de un contrato de servicios. El DPO será designado atendiendo a:
- Cualidades profesionales.
- Conocimientos especializados en protección de datos.
- Capacidad para ejecutar los cometidos que le confiere el Reglamento.
El Responsable o Encargado del tratamiento deberán publicar los datos de contacto del DPO y comunicarlos a la Autoridad de control.
Funciones del DPO
El Delegado de Protección de Datos:
- Desempeñará sus cometidos prestando la debida atención a los riesgos en la protección de datos, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento.
- Estará obligado a mantener el secreto o la confidencialidad de sus cometidos.
- Podrá desempeñar otros cometidos y funciones ajenas a su relación con el Responsable o Encargado del tratamiento, siempre que no exista un conflicto de intereses con los mismos.
- Podrá informar directamente al más alto nivel de dirección del Responsable o Encargado del tratamiento.
Los Responsables o Encargados del tratamiento deberán:
- Respaldarle para que pueda cumplir sus cometidos.
- Facilitarle los recursos necesarios para desempeñar sus funciones y mantener sus conocimientos especializados.
- Velar para que el DPO no reciba ninguna instrucción en lo que respecta al ejercicio de sus cometidos y no podrán destituirle ni sancionarlo por realizarlos.
Los interesados:
- Podrán contactar con el DPO para tratar los asuntos que les afecten relativos al tratamiento de sus datos y al ejercicio de los derechos que les confiere el Reglamento.
¿Cuándo existe la obligación de designar un DPO?
El Responsable o Encargado del tratamiento están obligados a designar un DPO
cuando su actividad principal contemple tratamientos a gran escala de:
- Observación habitual y sistemática de interesados: Cuando se realiza un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de sus datos.
- Por ejemplo: Banca, Aseguradoras, Empresas de vigilancia que traten datos directamente como ET, Empresas dedicadas a la elaboración de perfiles (ETT, Mercadotecnia directa, Apps, etc.), Medios de comunicación, etc.
- Categorías especiales de datos: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
- Por ejemplo: Partidos políticos, Iglesias, Sindicatos, Investigación genética o biométrica, Hospitales, Centros médicos, Mutuas, Asistencia social, etc.
- Datos relativos a condenas e infracciones penales: Datos relativos a condenas e infracciones penales o medidas de seguridad afines, llevadas a cabo bajo la supervisión de autoridades públicas.
- Por ejemplo: Gabinetes jurídicos, Gestión de morosos, etc.
También existe la obligación de designar un DPO
cuando el tratamiento lo realice una Autoridad u Organismo público, excepto los tribunales que actúan en el ejercicio de su función judicial.
¿Cuándo una actividad principal contempla tratamientos a gran escala?
Vista la obligación establecida en el Reglamento para designar un DPO, esta figura sólo será necesaria en empresas que realicen tratamientos de datos personales a gran escala en su actividad principal. La mayoría de empresas no realizan este tipo de tratamiento, por lo que podrán prescindir del DPO. Para asegurarnos de ello, vamos a ver el significado de estos conceptos en los considerandos 91 (tratamientos a gran escala) y 97 (actividad principal) del GDPR.
- Tratamientos a gran escala: Operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.
- Actividad principal del Responsable o Encargado del tratamiento: A lo que se dedica la empresa, su actividad económica. Por ejemplo, en una fábrica de calcetines la actividad principal es su fabricación y venta; en una empresa de trabajo temporal (ETT) su actividad principal es elaborar perfiles de personas para proporcionarles un empleo. Es muy importante discernir si la actividad principal se basa, o no, en el tratamiento de datos personales.
Qué dice el GDPR
Considerendo 91:
Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus 4.5.2016 ES Diario Oficial de la Unión Europea L 119/17 derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.
Considerando 97
Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales L 119/18 ES Diario Oficial de la Unión Europea 4.5.2016 como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
Josep Aragonés Salvat
Información relacionada