Qué es un DPD y por qué es interesante contar con esta figura en organizaciones y administraciones públicas.

ANÁLISIS DE LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS Y SU ESTATUTO.

Resumen: La figura del Delegado de Protección de Datos (DPO por sus siglas en inglés), fue creada con la aprobación de la ya derogada Directiva 95/46/CE. Esta figura, en origen no era de carácter obligatorio, sino que la Directiva dejaba abierta la posibilidad de legislar en torno a dicha figura a los Estados miembro. Con la entrada en vigor del Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la figura del DPD se torna obligatoria en determinados supuestos y optativa en otros. El 25 de mayo de 2018 entra en vigor definitivamente el RGPD. Es un buen momento para reflexionar en torno a la figura del DPD y el rol que este juega tanto en empresas como en las Administraciones Públicas.

Palabras clave: DPD, Delegado de Protección de Datos, RGPD, LOPD-GDD, Privacidad, Protección de Datos, Principio de responsabilidad proactiva, Administraciones Públicas.

Introducción.

La figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), nace en el marco de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Es en el artículo 18.2 de la Directiva donde se hace mención expresa del “encargado de protección de los datos personales”, dando libertad a los Estados miembros sobre legislar o no, en torno a esta novedosa figura.

Esta situación daba lugar a asimetrías en cuanto a la aplicación de la Directiva, que repercutirían en los tratamientos de datos personales y las transferencias de estos entre los responsables y encargados de los tratamientos, radicados en los diferentes Estados miembros, siendo subsanada esta cuestión con la aprobación y entrada en vigor del Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD.

La particularidad que implementaba la Directiva en este punto, era que permitía omitir la obligación de notificar a la Autoridad de Control, con carácter previo, los tratamientos de datos personales que llevaba a cabo el responsable o encargado de los tratamientos si designaba un “encargado de protección de los datos personales”.

Así pues, previa a la aprobación del RGPD, las Autoridades de Control europeas y organismos consultivos como el Grupo de Trabajo del Artículo 29[1] (creado bajo el paraguas de la Directiva 95/46/CE) predecesor del actual Comité Europeo de Protección de Datos, trabajaron en el desarrollo de esta figura del “encargado de protección de los datos personales”, desarrollando guías y recomendaciones, como la guía elaborada por el Grupo de Trabajo del Artículo 29 para abordar los aspectos más relevantes en torno al DPD[2].

Y es que la figura del DPD nace estrechamente vinculado al Principio de Responsabilidad Proactiva o “accountability”, merced del cual no sólo debemos cumplir la norma, sino acreditar que hemos puesto todos los medios a nuestro alcance para garantizar su cumplimiento. Así las cosas, entre estas medidas de responsabilidad proactiva encontramos:

• La elaboración de análisis de riesgos para determinados tratamientos, con carácter previo.
• El registro de actividades de tratamiento (RAT).
• La protección de datos desde el diseño y por defecto.
• La implementación de medidas de seguridad en el tratamiento.
• La notificación de “violaciones de seguridad de los datos” a las Autoridades de Control y a los interesados, cuando proceda.
• La elaboración de una Evaluación de Impacto sobre la Protección de Datos (EIPD), para determinados tratamientos y con carácter previo.
• La designación, con carácter obligatorio en determinados supuestos y voluntario en otros, de un DPD.

La aprobación del RGPD, el 14 de abril de 2016, supuso la derogación de la Directiva 95/46/CE, y el robustecimiento y configuración actual de la figura del DPD. Bien es cierto que la transición de un escenario a otro fue gradual, puesto que la entrada en vigor del RGPD se produjo el 25 de mayo de 2018, permitiendo así a aquellos Estados miembro que todavía no habían regulado la figura del DPD pudieran hacerlo, o al menos pudieran adaptar sus estructuras empresariales y el sector público, para acoger a esta nueva figura y dar así coherencia en la aplicación del RGPD en todo el Espacio Económico Europeo (Estados de la UE y Liechtenstein, Noruega e Islandia).

1.- La designación del DPD.

El panorama actual en lo relativo al DPD se ha visto modificado, como hemos visto en la introducción, y es que, tanto el RGPD como la LOPD-GDD, imponen a los responsables y encargados del tratamiento de datos personales la obligación de designar un DPD en supuestos tasados, y fuera de estos supuestos, esta desginación, no siendo obligatoria, es muy recomendable sobre todo de cara a eventuales procedimientos sancionadores ante las Autoridades de Control.

1.1.- Supuestos de designación obligatoria del DPD.

Los supuestos en los que es obligatoria la designación del DPD por parte del responsable o el encargado del tratamiento de datos personales, se regulan en el art. 37 RGPD y 34 LOPD-GDD.

“a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.

En lo relativo a la designación del DPD por parte de la Administración Pública[3], la guía sobre el DPD del Grupo de Trabajo del Art. 29 recomienda que se designe un DPD en los siguientes supuestos:

• Cuando organizaciones privadas ejerzan tareas relacionadas con servicios públicos. (Ej. Concesión, proveedor de servicios como plataforma de administración electrónica…)
• Cuando una organización privada realice operaciones de tratamiento público. (Ej. Tratamiento de nóminas de funcionarios…)

En cuanto al concepto de “a gran escala”, la guía del Grupo de Trabajo del Art. 29, establece como requisitos para entender que se produce un tratamiento de datos “a gran escala” los siguientes:

• Número de interesados afectados, en términos absolutos o proporcionales.
• Volumen y variedad de los datos tratados.
• Duración o permanencia en el tiempo de la actividad de tratamiento.
• Extensión geográfica de la actividad de tratamiento.

Como ejemplos de tratamientos a gran escala, encontramos los relativos a los datos de los pacientes de un hospital, las personas usuarias del transporte público de una ciudad (smart cities), datos de geolocalización de usuarios o clientes de una determinada app, datos tratados por proveedores de servicios de internet y/o telefonía, entre otros.

En cuanto al concepto “monitorización regular y sistemática”, deberemos acudir al considerando 24 del RGPD, que establece:

“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.

Tenemos como ejemplos de “monitorización regular y sistemática”, la prestación de servicios de telecomunicaciones, programas de fidelización, monitoreo “wellnes” o “fitness” y datos relativos a la salud mediante dispositivos portátiles (pulseras de actividad etc.), circuito cerrado de TV y sistemas de video vigilancia, dispositivos interconectados y ecosistemas de domótica, coches eléctricos inteligentes etc., entre otros.

En cuanto a los supuestos de designación obligatoria del DPD en la LOPD-GDD, el art. 34 establece los siguientes:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
• Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

1.2.- Supuestos de designación voluntaria del DPD.

En el resto de supuestos que no sean los ya analizados, la designación del DPD será potestativa del responsable o el encargado del tratamiento y al DPD designado de forma voluntaria le será de aplicación el mismo régimen que al DPD designado de forma voluntaria. En este sentido, la LOPD-GDD dispone en su artículo 34.2:

“Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y la presente ley orgánica”.

La designación del DPD fuera de los supuestos obligatorios, ya analizados, puede deberse a diversos factores, pero los principales serían:

1. Procedimientos sancionadores ante la AEPD.

Habida cuenta de la complejidad de estos y de las elevadas sanciones previstas en el RGPD (sanciones que pueden llegar a los 20.000.000 de euros, o al 4% del volumen anual de negocio), unido a que, en virtud del principio de responsabilidad proactiva, el hecho de designar un DPD de forma voluntaria, hace que las sanciones se reduzcan de forma drástica (pudiendo llegar a reducirse a la amonestación por escrito por parte de la AEPD).

2.- La consideración de los datos personales como un activo de gran valor, tanto para los interesados como para las organizaciones.

Este hecho hace que sea muy recomendable contar con el asesoramiento de expertos en el tratamiento de estos activos, para garantizar la calidad de los datos a tratar.

3.- El aumento de la complejidad de los tratamientos.

Los tratamientos transnacionales y las cesiones de datos entre los diferentes Estados miembro del EEE y terceros países (transferencias internacionales de datos) aumentan de forma exponencial y suponen un elemento estratégico para el negocio. Además, el uso de tecnologías disruptivas como el big data, el blockchain, el internet de las cosas (IoT) o la inteligencia artificial (IA), supone un nuevo reto para las empresas y organizaciones.

2.- Principios que rigen la actividad del DPD.

Aunque no hay una prelación de principios rectores que deben regir la actividad del DPD ni en el RGPD ni en la LOPD-GDD, al menos no de manera explícita, sí podemos encontrar estos principios, dispersos tanto en el RGPD como en la LOPD-GDD.

Estos principios serán, el de independencia y el de confidencialidad.

2.1.- Principio de Independencia.

El art. 38.3 RGPD establece lo siguiente en relación al principio de independencia del DPD:

“El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

Y este principio se traduce en tres aspectos fundamentales:

1. No recibirá instrucciones para el ejercicio de sus funciones.
2. Depende directamente del nivel más alto de la organización. La AEPD, en su guía del RGPD, recomienda que el DPD se relacione con el nivel superior de dirección en la organización[4].
3. El DPD no podrá ser sancionado o destituido por ejercer sus funciones.

Tanto el nombramiento como el despido, cese o sanción, deben comunicarse a la AEPD, o las autoridades de control autonómicas, en el plazo de 10 días, según el art.34 LOPD-GDD.

En lo relativo a las relaciones laborales del DPD, se rigen por la legislación laboral común, por lo que las causas de despido, cese y sanciones serán las estipuladas en dicha normativa. En cuanto a la tipología contractual, por la naturaleza misma de la figura del DPD, no parece que sea posible la celebración de contratos temporales, al menos en los supuestos de designación obligatoria del DPD (Monzón, 2017)[5].

En cuanto al DPD dentro de la Administración Pública, tal y como ha dicho la AEPD, por la naturaleza de sus funciones, este deberá estar encuadrado en “órganos o unidades con competencias y funciones de carácter horizontal”. Y respecto al nivel del puesto de trabajo, debe ser “el adecuado para poder relacionarse con la dirección del órgano u organismo”. Y entendemos que las mismas consideraciones serían válidas en el sector privado.

Otro concepto que entronca con el de independencia es el de conflicto de intereses. Tanto el responsable como el encargado del tratamiento tiene que velar por que no se den situaciones de conflicto de intereses en la figura del DPD, y así viene recogido en los arts. 38.6 RGPD y 36.2 LOPD-GDD. En la Guía del DPD del Grupo de Trabajo del Art. 29 se recomienda, para evitar situaciones de conflicto de intereses, que el DPD “no puede tener una posición dentro de la organización que lleva a determinar los fines y los medios del tratamiento de datos personales”. Entre los puestos que no se recomienda que ocupe el DPD encontramos algunos como el del responsable de las TIC o de la seguridad de la información en la organización, o cualquier puesto directivo (Director Gral., dirección de recursos humanos, Director Financiero etc.)

2.2.- Principio de Confidencialidad.

El principio de confidencialidad o el deber de guardar secreto, se recoge en el art. 38.5 RGPD, que establece:

“El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros”.

En primera instancia, este principio se configura como el deber que tiene el DPD de mantener a salvo la información y los datos objeto del tratamiento en el que esté interviniendo en su función como DPD.

A su vez, este principio también se configura de manera similar, aunque más atenuada, como el secreto profesional de los abogados, en virtud del cual, estos profesionales no deben trasmitir de ningún modo la información o los datos que conozcan por razón de su profesión.

En este sentido, el principio de confidencialidad establece el deber y el derecho del DPD a mantener oculta la información que conozca por razón de su cargo, permitiendo no comunicar a la organización para la que efectúe funciones DPD (interno o externo) datos sensibles como la identidad de una persona que le comunica posibles infracciones cometidas por la propia organización en materia de protección de datos, por ejemplo. Aunque dada la naturaleza de su cargo, que veremos más adelante, este deber de guardar secreto para con la organización no es ilimitado.

Por otra parte, este principio permite al DPD no atender a peticiones de información de terceros, o de datos que podríamos considerar sensibles, no fundamentadas y carentes de base de legitimación, que reciba desde fuera de la organización.

3.- Funciones del DPD.

El artículo 39 del RGPD establece como funciones del DPD las siguientes:

• Informar y asesorar al responsable, al encargado y empleados.
• Supervisar el cumplimiento incluyendo asignación de responsabilidades, concienciación y formación del personal.
• Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
• Cooperar con la Autoridad de Control.
• Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.

El art. 37 de la LOPD-GDD añade como funciones del DPD la intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.

La designación del DPD, sobretodo en supuestos de no exigibilidad, supone una ventaja adicional para el responsable o el encargado del tratamiento, en el caso de enfrentarse a un expediente sancionador porque, por un lado, permite zanjar la controversia previa a la incoación del expediente, evitando este, y en caso de incoarse, se concede un mes adicional en el cómputo del plazo (art. 37.2 LOPD-GDD). La intervención del DPD en el procedimiento admisnitrativo sancionador ante las Aurotirades de Control se recoje también en el art. 65.4 LOPD-GDD.

La Agencia Española de Protección de Datos ha desarrollado de manera más extensa cuáles deben ser las funciones del DPD en las Administraciones Públicas en su guía “El delegado de protección de datos en las Administraciones publicas”[6]. No obstante, consideramos que estas funciones aplican perfectamente al DPD en organizaciones y empresas privadas.

“e) El RGPD señala entre las funciones del DPD las de:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
• Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

f) Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y

supervisión en, entre otras, las siguientes áreas:

• Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
• Identificación de las bases jurídicas de los tratamientos.
• Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
• Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
• Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
• Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
• Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
• Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
• Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
• Diseño e implantación de políticas de protección de datos.
• Auditoría de protección de datos.
• Establecimiento y gestión de los registros de actividades de tratamiento.
• Análisis de riesgo de los tratamientos realizados.
• Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
• Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
• Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
• Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
• Realización de evaluaciones de impacto sobre la protección de datos.
• Relaciones con las autoridades de supervisión.
• Implantación de programas de formación y sensibilización del personal en materia de protección de datos.”

Además, el art. 36.4 LOPD-GDD, impone una nueva obligación, o función, del DPD, que es la de comunicar las vulneraciones de seguridad que detecte, al responsable o encargado del tratamiento. Esta función va en concordancia con la obligación de comunicar a la Autoridad de Control, las brechas de seguridad que impliquen fugas de datos personales, en el plazo de 72 horas según los arts. 33 y 34 RGPD.

4.- Perfil competencial del DPD.

El Art. 37.5 RGPD establece que el DPD debe ser designado atendiendo a sus “cualidades profesionales”, en concreto:

1. Conocimientos especializados en Derecho.
2. Práctica en materia de protección de datos.
3. Capacidad para desempeñar las tareas del art. 39 RGPD.

El perfil de un DPD es el de un profesional con conocimientos muy amplios en Derecho, y especializado en materia de protección de datos, ahora bien, esto no excluye que existan DPDs con perfiles muy técnicos, aunque no parece que sea lo más deseable. El Grupo de Trabajo del Art. 29, en la guía que hemos citado en repetidas ocasiones, dice que “aunque el nivel de conocimientos requerido no está estrictamente definido debe de ser acorde con la sensibilidad, complejidad y cantidad de datos los procesos de una organización”.

El Art. 35 LOPD-GDD, sin embargo, establece que se tendrá particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en Derecho.

Respecto a la certificación del DPD según el esquema de certificación de la AEPD[7], no es desde luego un requisito legal ni imperativo para ejercer como DPD, si bien es cierto que es altamente recomendable contar con un DPD certificado, puesto que la certificación es garantía de especialización y conocimientos al más alto nivel. Además, es un requisito indispensable si se quiere contratar con las Administraciones Públicas, y una ventaja competitiva muy interesante. Pero insistimos, actualmente no es un requisito para ejercer como DPD.

5.- Conclusiones.

El DPD es un profesional altamente cualificado, con un alto grado de econocimientos en Derecho y especialización en materia de protección de datos. Su configuración ha ido evolucionando desde la Directiva 95/46/CE hasta el panorama actual, configurado por el RGPD.

Se configura como un asesor interno o externo, en función de los intereses de la organización para la que desarrolle sus funciones. La actividad del DPD se rige por los principios de independencia y confidencialidad.

Si se trata de un DPD in house, su posición dentro de la organización debe ser lo suficientemente elevada como para tener competencias transversales, contar con los medios y recursos suficientes para el ejercicio de su función y tener interlocución directa con el órgano de dirección (cuando no, dependencia directa de este). En el caso de las Administraciones, se configura de modo similar, teniendo la consideración de “cargo de confianza”. Para no incurrir en incompatibilidades, respetando el principio de independencia, las funciones de DPD no pueden ser ejercidas por quien tenga capacidad para decidir la finalidad del tratamiento, ni tampoco por órganos directivos, como el Director General, Director Financiero, Marketing, Recursos Humanos etc.

Además de los supuestos de designación obligatoria del DPD es posible su designación voluntaria.

Es muy interesante contar con un DPD en los supuestos en los que su designación es voluntaria, por varias razones:

1. Para acreditar ante las autoridades de control que se cumple con la norma y se ponen todos los medios posibles para garantizar su cumplimiento (Responsabilidad proactiva o accountability).
2. Contar con un DPD cuando     la organización se ve envuelta en un expediente sancionador puede significar la reducción drástica de una sanción económica, llegando incluso a quedar esta en una mera amonestación escrita. Esta designación operaría a modo de atenuante. Además, en cuando al procedimiento sancionador, contar con un DPD otorga al responsable o encargado del tratamiento contar con un mes más en el plazo total. El DPD actuará en estos supuestos a modo de catalizador, pudiendo resolverse la controversia antes incluso de incoarse el expediente sancionador.
3. Contar con un DPD en la organización permite que esta esté asesorada en todo momento por un profesional altamente cualificado. Si además, el DPD está certificado según el esquema de certificación de la AEPD, la organización tendrá la garantía de estar asesorada al más alto nivel.

Sin duda, la figura del DPD se ha potenciado en estos últimos dos años gracias a la entrada en vigor del RGPD, y el panorama futuro del DPD parece que depara un mayor crecimiento de esta figura, no en vano es una de las profesiones con mayor proyección y desarrollo. Contar con un DPD en la organización es hacer una apuesta de futuro.

David Morro Cuenca

Publicado el 01/09/2020 en: https://adefinitivas.com/arbol-del-derecho/que-es-un-dpd/