¿Qué es un delegado de protección de datos y por qué lo necesita tu empresa?
Cada vez falta menos para que entre en vigor del nuevo Reglamento General de Protección de Datos. Mayo de 2018 es la fecha asignada, por lo que el tiempo se agota para quienes deben adaptarse a la nueva normativa. Esta norma será de aplicación obligatoria a partir de esa fecha e impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en ingés: data protection officer) en determinados supuestos y para ciertos tipos de empresa. Por eso, es importante plantearse qué empresas tendrán que contratar un delegado de protección de datos. Y la respuesta no es sencilla.
Lo primero es definir qué es un delegado de protección de datos. Se trata de una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos. Sus funciones son, como mínimo, las siguientes:
- Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
- Supervisar el cumplimiento de esa legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Cooperar con las “autoridades de control” (Agencias de Protección de Datos)
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
Hace pocos días la Agencia Española de Protección de Datos (AEPD) difundió las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan los conceptos a los que se refiere el Reglamento y arrojan cierta luz sobre en qué casos las empresas deben contar con un delegado de protección de datos.
Tres casos en que es obligatorio un delegado de protección de datos
El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El GP29 recomienda que, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.
Concepto de “Actividades principales”
Cuando los dos segundos apartados se refieren a las “actividades principales del responsable o el encargado del tratamiento”, hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Tal y como recoge elEconomista, se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de ésta (una app que maneja perfiles, por ejemplo), o bien cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
Concepto de “A gran escala”
El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es “a gran escala”. El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegada.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
Concepto de “Seguimiento regular y sistemático”
Por “seguimiento” debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
Al hablar de “regular” se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por “sistemático”, el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.
¿Quieres más información sobre la figura del delegado de protección de datos? ¿Necesitas que tu empresa se adapte a la normativa sobre protección de datos? Ponte en contacto con nosotros sin compromiso y te ayudaremos.