Guía útil de escenarios, requisitos y funciones de la figura del Delegado de Protección de Datos (Grupo de Trabajo del Artículo 29)

Post jurídico

Blanca Cortés

El Grupo de Trabajo del Artículo 29 (“GT 29”) anunció en 2016 su intención de elaborar diversos documentos con los que dar luz a determinadas obligaciones del Reglamento General de Protección de Datos (“RGPD”). Entre tales documentos se encuentran su guía sobre el derecho a la portabilidad, las normas para la identificación de la autoridad de control principal y la figura del Delegado de Protección de Datos o Data Protection Officer (“DPO”) a cuyo contenido se dedica esta Referencia Jurídica.

El GT 29 es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros. Las decisiones del Grupo no son jurídicamente vinculantes si bien tienen un contundente valor interpretativo al que recurren tanto los abogados especializados en la materia como los tribunales nacionales y europeos. Precisamente en el desarrollo de su actividad, el GT29 ha publicado una nueva guía que, en esta ocasión, analiza la figura del Delegado de Protección de Datos (“DPO”).

En primer lugar, la guía analiza en qué escenarios es necesaria la figura del DPO, así como trata de delimitar el significado de los no pocos conceptos jurídicos indeterminados incluidos en la Sección 4 del RGPD. En concreto, el Reglamento establece que será necesaria la designación de un DPO cuando a) el tratamiento lo lleve a cabo una autoridad u organismo público; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Así, en la guía objeto de cita, el GT29 analiza conceptos como autoridad u organismo público (lo que se decidirá de acuerdo con el derecho nacional, si bien la guía recomienda que  aquellas  organizaciones privadas que desempeñan funciones públicas designen voluntariamente un DPO); actividades principales (operaciones clave para conseguir los objetivos del responsable o encargado); tratamiento de datos a gran escala (para lo que deberá tomarse en consideración, entre otros elementos, el número de titulares de datos afectados por el tratamiento, el volumen y/o la tipología de los datos que están siendo tratados); u observación habitual y sistemática de interesados (para la que el GT29 menciona diversos ejemplos como programas de fidelización, publicidad comportamental, monitorización de datos a través de wearables o uso de circuitos cerrados de televisión). Ejemplos todos ellos que delimitan tanto las situaciones en las que el DPO deberá ser designado como cuáles serán las características y funciones de su cargo.

Al respecto, la guía manifiesta que el DPO será necesario tanto para responsables como encargados del tratamiento cuando se cumplan los requisitos del RGPD. Asimismo, se establece que el DPO a) deberá ser fácilmente accesible desde cada establecimiento en aquellos casos en los que el DPO represente a un grupo de empresas; b) acreditar una sólida experiencia en protección de datos, si bien no requerirá de una titulación determinada; y c) podrá ser contratado como personal de la entidad o ser ajeno a tal organización empresarial y actuar como DPO en virtud de un contrato de prestación de servicios. La última posibilidad resulta de especial importancia, pues permite externalizar esta función a terceros especialistas en la materia, evitando las dificultades inherentes a su implementación interna. A lo expuesto debe añadirse que ciertos datos del DPO deberán ser publicados para que los titulares de datos personales y comunicados a las correspondientes Autoridades de supervisión puedan tener acceso a ellos.

Por último, en lo relativo al papel del DPO en la organización de la que forme parte, la guía manifiesta que el empresario deberá garantizar que éste participe activamente en cualquier cuestión o proceso relativo a la protección de datos de carácter personal, debiendo asegurar internamente que el DPO sea informado y consultado con carácter previo a cualquier tratamiento (“Privacy by design and default”). Asimismo, deberá garantizarse que el DPO actúa de forma independiente, no exista conflicto de interés con otras funciones que pueda desempeñar (el GT29 recomienda, sin embargo, que el DPO no desempeñe ninguna otra función relacionada con la determinación de la finalidad de los tratamientos de datos a realizar, entre ellas, responsable de RRHH, responsable de IT, responsable financiero o cualquier cargo directivo) y no sea penalizado por el empresario por las decisiones en cumplimiento de su cargo.

Si bien las incógnitas relativas a esta figura persisten, la guía aporta datos y ejemplos útiles para concretar en qué casos será necesaria la designación de un DPO y cuáles serán sus funciones en la práctica y ello con la debida antelación pues el RGPD entrará en vigor en mayo de 2018. Su contenido, sin lugar a dudas, será de utilidad a responsables y encargados para adaptar su estructura a las firmes exigencias del RGPD. 

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. 

Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.

Autores

La foto de Blanca Cortes Fernandez
Blanca Cortés
Counsel
Madrid