Son muchas las dudas que surgen respecto a la figura del delegado de protección de datos, por lo que intentaremos aclarar algunas de ellas.
¿Cuando es obligatorio?
El art. 37 del nuevo RGPD deja claro que es obligatoria la figura del delegado de protección de datos en tres supuestos:
1º.- Cuando el tratamiento de datos lo lleve a cabo una autoridad u organismo público, excepto los tribunales de justicia.
En este supuesto, parece claro que la administración de los estados miembros, así como todos aquellas administraciones autonómicas, regionales y locales están obligadas a contar con la figura del delegado de protección de datos. Más dudas plantean aquellos entes públicos que sin formar parte de la administración pública son entidades a las que se les aplica el derecho público.
De acuerdo con el Grupo de Trabajo del art. 29 la cualidad de autoridad u organismo público debe determinarse conforme al Derecho nacional de cada estado miembro. Además, el Grupo de Trabajo señala que hay entidades privadas que ejercen funciones y potestades públicas, en marcos como pueden ser el transporte, los suministros, la radiodifusión pública, la vivienda pública o los órganos disciplinarios de las profesiones reguladas. En estos casos, se recomienda como buena práctica designar un delegado de protección de datos como garantía adicional para los ciudadanos.
2º.- En empresas privadas, cuando la actividad principal de la misma requiera una observación habitual y sistemática de interesados a gran escala.
En este supuesto hay que prestar atención a dos conceptos fundamentales. Uno es el de gran escala y otro el de observación habitual y sistemática.
Gran escala.
Si bien el reglamento no nos define qué es exactamente el concepto “gran escala” cuando se refiere a la figura del delegado de protección de datos, si que nos señala en el considerando 91 nos da algun pista señalando que habrá tratamiento a gran escala cuando las operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo.
A este respecto al Grupo de Trabajo del art. 29 recomienda tener en cuenta los siguientes factores para entender si hay o no un tratamiento a gran escala:
El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
La duración, o permanencia, de la actividad de tratamiento de datos;
El alcance geográfico de la actividad de tratamiento.
Algunos ejemplos claros de tratamiento a gran escala serían:
Tratamiento de datos de pacientes dentro de la actividad de un hospital.
El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad
El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios
El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco.
El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
Observación habitual y sistemática
Debe prestarse mucha atención en este supuesto también a este concepto. En el reglamento se habla del concepto observación del comportamiento como parte integrante de la aplicación del reglamento siempre que dicho control se realice sobre ciudadanos europeos; nos estamos refiriendo aquí al seguimiento y creación de perfiles en internet y al control comportamental.
Estos serían algunos ejemplos de observación habitual y sistemática:
Operar una red de telecomunicaciones;
Prestar servicios de telecomunicaciones;
Redireccionar correos electrónicos;
Actividades de mercadotecnia basadas en datos;
Elaboración de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la Calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero);
Llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles;
Programas de fidelidad;
Publicidad comportamental;
Seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles;
Televisión de circuito cerrado;
Dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.
Si bien la observación no está limitada al campo de internet y las nuevas tecnologías, salta a la vista que el avance tecnológico presta cada vez más importancia al análisis comportamental de los ciudadanos y es en dichas tecnologías donde veremos en mayor medida la observación habitual y sistemática. Es en esos sectores sin duda donde habrá que prestar mayor atención y ser más escrupulosos en el cumplimiento de la normativa impuesta por el reglamento.
3º.- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de condenas e infracciones penales.
Aplicando el concepto anteriormente señalado de gran escala, pero esta vez aplicado a cualquier tipo de tratamiento que se realice con categorías especiales de datos o de condenas e infracciones penales.
Será por lo tanto obligatorio en esos casos designar un delegado de protección de datos.
Entonces, ¿Debo o no debo designar un delegado de protección de datos?
Pues un primer paso será analizar la actividad de la empresa, organización o administración pública para determinar en base a lo anteriormente expuesto, si es necesario o no designar un delegado de protección de datos. Además, dicho proceso y dicha decisión deberá documentarse dejando constancia de la misma, por si en algún momento hubiese que justificar la decisión tomada ante la Autoridad de Control competente.
¿Cada administración pública está obligada a tener un delegado de protección de datos?
El reglamento señala de forma expresa que se podrá nombrar un solo delegado de protección de datos para varias administraciones, teniendo en cuenta su estructura organizativa y tamaño. Ciertamente parece que se deja abierta la posibilidad a las administraciones públicas a que se organicen de una forma un tanto libre, toda vez que los criterios establecidos en la norma resultan bastante ambiguos.
¿Y los grupos de empresas deberán designar un delegado para cada una?
El reglamento señala que se podrá designar un solo delegado de protección de datos, siempre que sea accesible desde cada establecimiento. También parece bastante abierta la posibilidad que se ofrece a los grupos de empresa, toda vez que, hoy en día, no parece difícil que desde un establecimiento se pueda acceder a una persona que tenga la designación de delegado de protección de datos que esté por ejemplo en otra ubicación geográfica.
¿ Qué formación debe tener el delegado de protección de datos?.
Pues el reglamento establece como características del delegado de protección de datos que tenga conocimientos especializados de Derecho y práctica en materia de protección de datos. Por lo tanto, la figura del delegado de protección de datos debe contar con un perfil jurídico con práctica en el asesoramiento en la materia.
¿En que condiciones tengo que incorporar al delegado de protección de datos?
El reglamento establece la posibilidad de que el delegado de protección de datos se incorpore al organigrama de una empresa o administración pública o bien, mediante contratación laboral o bien, mediante contrato de servicios.
Evidentemente, dependiendo del tamaño y complejidad de la organización deberá designarse un delegado de protección de datos más o menos cualificado o con más o menos experiencia. Lo que sí es importante es que se designe un delegado de protección de datos realmente sepa desarrollar las funciones de forma adecuada, puesto que el responsable del tratamiento es el que responderá por aquellas cuestiones que no se adapten a la normativa.
No se establece prohibición alguna respecto a si una organización o empresa podría prestar los servicios de delegado de protección de datos, por lo que, mientras no exista conflicto de interés nada lo impide.
¿Donde se encuadra un delegado de protección de datos dentro de una empresa?
Pues en principio es un departamento con cierta independencia dentro de la empresa, formado por una o varias personas, que debe participar en la vida de dicha empresa, desde el más alto nivel jerárquico velando porque se cumpla la normativa de protección de datos. En la mayoría de empresas será un departamento de nueva creación.
Además, se le debe dotar de los recursos necesarios, tenerlo presente en la toma de decisiones, aceptar sus opiniones o, en su defecto, documentar por qué se ha desestimado el criterio del delegado de protección de datos, se le deben notificar las violaciones de seguridad y no se le puede despedir o extinguir su contrato como represalia al ejercicio de sus funciones.
¿Cuales son la funciones del delegado de protección de datos?
El reglamento establece las siguientes funciones:
1º.- Función de asesoramiento general. Debe informar y asesorar a la empresa, organización y organismo público de todas aquellas cuestiones relativas a la normativa de protección de datos.
2º.-Función de supervisión general. Debe supervisar los procesos de tratamiento llevados por la empresa, organización u organismo público, mencionándose de forma expresa en el reglamento la supervisión de las políticas sobre la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
3º.- Función de asesoramiento y supervisión en la evaluación de impacto. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4º.- Función de cooperación y contacto con la autoridad de control: actuando el delegado de protección de datos como enlace con la autoridad de control competente y la empresa, organización u organismo público.
El reglamento señala de forma expresa además, que estas funciones deberán desempeñarse prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
¿Puedo nombrar un delegado de protección de datos aunque no esté obligado?
Sí, de hecho es un práctica recomendada nombrar a una persona o grupo de personas que se encarguen en exclusiva del asesoramiento y la supervisión del grado de cumplimiento de la normativa de protección de datos en las empresas, organizaciones u organizaciones públicas, toda vez que es cada vez mayor la importancia que se otorga a la privacidad, fundamentalmente en el campo del desarrollo tecnológico.
Contrata a un despacho de abogados especialista.
Tanto si necesitas un servicio de delegado de protección de datos como si necesitas asesoramiento o implantación de la normativa, estaremos encantados de ofrecerte nuestros servicios otorgando seguridad jurídica en la materia mediante un servicio especializado y de calidad.
En Insitu Abogados queremos ayudarte con nuestra experiencia, para que te ahorres mucho dinero, tomes decisiones con seguridad jurídica y encuentres soluciones adecuadas. Infórmate en nuestra web, revisa nuestro servicios y toma decisiones adecuadas poniéndote en contacto con nosotros en el Tfno. 881252160 o en info@insitu-a.com y te informaremos.