El Diario Oficial de la Unión Europea ha publicado el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de tales datos, derogándose así la Directiva 95/46/CE (Reglamento general de protección de datos) resultando de aplicación para las empresas de todos los Estados miembros de la Unión Europea numerosos deberes en relación a la privacidad, siendo sus efectos a partir del 25 de mayo de 2018. A tal fin, una de las exigencias que introduce tan importante marco normativo, es la contratación de un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer) .
Sin entrar en largos comentarios y ciñéndome a la pura objetividad a fin de precisar cuáles sean en materia de privacidad los supuestos de designación del Delegado de Protección de Datos (DPD) a los que se refiere el art. 37 de citada norma comunitaria, señalaré:
Primero.- Como primer supuesto, procede la asignación del DPD cuando el tratamiento lo lleve a cabo una autoridad u organismo público. En este caso, al afectar a las Administraciones y entes del sector público, se plantean menos dudas para su designación.
Segundo.- Como segundo supuesto, distinguimos aquellas situaciones en las que las actividades principales del responsable o encargado del tratamiento consistan en operaciones que requieran un seguimiento regular y sistemático de los interesados a gran escala. En este supuesto, hay que tener en cuenta el alcance de las actividades principales y aquellas otras en las que su tratamiento de datos tenga una función auxiliar. A tal fin, se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma , o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En tal supuesto, podríamos referir como ejemplo el caso de una institución hospitalaria en la que, si bien su finalidad principal es la prestación de servicios sanitarios, éstos no podrían llevarse a cabo sin la entrega de datos facilitados por los pacientes. Por lo que, obligatoriamente en este último caso, sería imperativa la contratación de un DPD. No obstante ello, en los casos tales como son el pago de recibos de salarios o nominas, el procesamiento de datos de los empleados no tendrá la consideración de actividad principal sino de actividad auxiliar, por lo que no daría lugar a la obligación de contratar a tal DPD .
Tercero.- Por último, tenemos el supuesto en que también procede la designación del DPD en cuestión, que es cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos. En este supuesto, los elementos que deben tenerse en cuenta para precisar si el tratamiento es «a gran escala» son el número de personas afectadas, el volumen de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
Con independencia de ser el DPD un cooperador de las Agencias de Protección de Datos, las funciones que tiene asumidas para tales supuestos consisten básicamente en informar y asesorar a los responsables y encargados del tratamiento legislativo sobre datos personales (y a sus empleados), así como de las obligaciones que de ello se derivan; tienen también la atribución de supervisar el cumplimiento de la legislación existente y de la política de protección de datos de una Administración Pública, empresa o entidad privada, pudiendo encargar auditorias y asignar responsabilidades ante terceros, así como formando al personal en cuestión. Por otro lado, tienen la función de ofrecer el asesoramiento que se le solicite a fin de efectuar una evaluación de impacto en el tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, etc.
Así las cosas, por exclusión, no están obligados a tener Delegado de Protección de Datos, (aunque sí que es aconsejable que lo tengan) las PYMES y otras entidades cuya actividad principal no conlleve un tratamiento masivo de datos personales que deban encontrarse especialmente protegidos o que requieran una observación a gran escala de los titulares de la empresa.
En virtud de cuanto antecede y para terminar, hay que tener en cuenta que en citado Reglamento no se especifica cómo y cuándo puede ser despedido el Delegado de Protección de datos, por lo que en principio no se le podrá despedir ni sancionar por el ejercicio de sus funciones. Por otro lado, al otorgarle el Reglamento un papel extremadamente relevante en el ejercicio de sus obligaciones, el DPD no podrá recibir ningún tipo de instrucción, constituyéndose así en una figura de control interno decisiva en el desenvolvimiento de este tipo de actividades, si bien sus datos de contacto (del DPD), deben ser públicos a fin de que cualquier interesado u organismo de supervisión pueda contactar con aquel de manera inmediata y confidencial.
En resumen: están obligados a nombrar un Delegado de Protección de Datos las Administraciones Públicas, excepto los Tribunales de Justicia, empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su alcance o fines, requieran una atención habitual, sistemática y a gran escala de los miembros que componen tales entidades, siendo a partir de mayo de 2018 cuando se hará imperativa su contratación.