El delegado de protección de datos. Justo Rodríguez Sánchez, abogado - El Sol Digital

El delegado de protección de datos. Justo Rodríguez Sánchez, abogado

El Diario Oficial de la Unión Europea ha publicado el Reglamento  2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de tales datos, derogándose así  la Directiva 95/46/CE (Reglamento general de protección de datos) resultando de aplicación para las empresas de todos los Estados miembros de la Unión Europea numerosos deberes en relación a la privacidad, siendo sus  efectos a partir del 25 de mayo de 2018.  A tal fin, una de las exigencias que introduce tan importante marco normativo, es la contratación de un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer) .

Sin entrar en largos comentarios y ciñéndome a la pura objetividad a fin de precisar cuáles sean en materia de privacidad los supuestos de designación del Delegado de Protección de Datos (DPD)  a los que se refiere el art. 37 de citada norma comunitaria, señalaré:

Primero.- Como primer supuesto, procede la asignación del  DPD cuando el tratamiento lo lleve a cabo una autoridad u organismo público. En este caso, al afectar a las Administraciones y entes del sector público, se plantean menos dudas para su designación.

Segundo.-  Como segundo supuesto, distinguimos aquellas situaciones en las que las actividades principales del responsable o encargado del tratamiento consistan en operaciones  que requieran un seguimiento regular y sistemático de los interesados a gran escala. En este supuesto, hay que tener en cuenta el alcance de  las actividades principales y aquellas otras  en las que su tratamiento de datos tenga  una función auxiliar. A  tal fin, se  entenderá que estamos ante una actividad principal cuando el tratamiento de datos  sea el objetivo fundamental de la misma , o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En tal  supuesto, podríamos referir como ejemplo el caso de una institución hospitalaria en la que, si bien su  finalidad principal es la prestación de servicios sanitarios, éstos no podrían llevarse a cabo sin la entrega de  datos facilitados por  los pacientes. Por lo que, obligatoriamente  en este último caso, sería imperativa  la contratación de  un DPD. No obstante ello, en los casos tales como son el pago de recibos de salarios o nominas, el procesamiento de datos de los empleados  no tendrá la consideración de actividad principal sino de actividad auxiliar, por lo que no daría  lugar a la obligación de contratar a tal DPD .

 Tercero.- Por último, tenemos   el supuesto en que también procede la designación del DPD en cuestión,  que   es  cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos. En este supuesto, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son el número de personas afectadas, el volumen de datos  que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.

Con independencia de ser el DPD  un cooperador de las Agencias de Protección de Datos, las funciones   que tiene asumidas  para tales supuestos consisten básicamente en informar y asesorar a los responsables y encargados del tratamiento legislativo sobre datos personales (y a sus empleados), así como de las obligaciones que de ello se derivan; tienen también la atribución de  supervisar el cumplimiento de la  legislación existente  y de la política de protección de datos de una Administración Pública, empresa o entidad privada,  pudiendo encargar auditorias y asignar  responsabilidades ante terceros, así como  formando al   personal en cuestión. Por otro lado, tienen la función de ofrecer el asesoramiento que se le solicite a fin de efectuar una evaluación de impacto en el tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, etc.

Así las cosas, por exclusión, no están obligados a tener Delegado de Protección de Datos, (aunque  sí que es aconsejable que lo tengan) las PYMES  y otras entidades cuya actividad principal no conlleve un tratamiento masivo de datos personales que deban encontrarse especialmente  protegidos o que requieran una observación a gran escala de los titulares de la empresa.

En virtud de cuanto antecede y para terminar, hay que tener en cuenta que en citado Reglamento no se especifica cómo y cuándo puede ser despedido el Delegado de Protección de datos, por lo que en principio no se le  podrá  despedir ni sancionar por el ejercicio de sus funciones.  Por otro lado, al otorgarle el Reglamento un papel extremadamente relevante en el ejercicio de sus obligaciones, el DPD no podrá recibir ningún tipo de instrucción, constituyéndose así en una figura de control interno decisiva en el desenvolvimiento de este tipo de actividades, si bien  sus  datos de contacto (del DPD),  deben ser públicos a fin de  que cualquier interesado u  organismo de supervisión pueda contactar con aquel de manera inmediata  y confidencial.

En resumen: están obligados a nombrar un Delegado de Protección de Datos las Administraciones Públicas, excepto los Tribunales de Justicia, empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su alcance o fines, requieran una atención habitual, sistemática y a gran escala de los miembros que componen tales entidades, siendo a partir de mayo de 2018 cuando  se hará imperativa su contratación.

Deja un comentario

El email no será público.