El Delegado en Protección de Datos

Los cambios en la normativa del Reglamento Europeo de Protección de Datos, que actualmente se encuentra en  fase de aprobación, contempla entre otros,  la figura de El Delegado en Protección de Datos (D.P.O. Data Protection Officer). Se trata de una figura profesional, interna o externa, tanto para organismos públicos como empresas privadas que traten datos de más de 5.000 interesados en un periodo de doce meses. Se perfecciona así el texto original que hablaba de un Delgado en empresas con más de 250 trabajadores. Esta enmienda es más que acertada pues defiende la protección de datos en cualquier empresa, independientemente de su plantilla. El Delegado debe ser una figura independiente con respecto a la dirección para que asegure el total cumplimiento y observancia de la Ley, por lo tanto puede ser trabajador en plantilla o no. Su jornada será a tiempo parcial o completa y estará protegido contra el despido. Su mandato deberá ser, como mínimo, de dos años y podrá ser nombrado para mandatos sucesivos. Solo podrá ser destituido si deja de cumplir las obligaciones requeridas para el ejercicio de sus funciones. Además, se le debe permitir su presencia en acciones formativas para mantener los conocimientos especializados necesarios para llevar a cabo sus deberes y funciones. En cuanto a los requisitos profesionales que debe reunir el D.P.O., éstos se contienen en la enmienda 50; a destacar:
  • Amplio conocimiento de la materia y de la aplicación de la normativa sobre protección de datos, incluidas las medidas y los procedimientos técnicos y organizativos.

  • Dominio de los requisitos técnicos de la protección de datos de la privacidad desde el diseño, de la privacidad por defecto y de la seguridad de los datos.

  • Conocimiento específico del sector, de acuerdo con el tamaño del responsable o encargado del tratamiento y de la sensibilidad de los datos a tratar.

  • Capacidad para llevar a cabo inspecciones y consultas, elaborar una documentación, y proceder al análisis de ficheros.

  • Capacidad para trabajar con los representantes de los trabajadores.
La finalidad de El Delegado no es otra que la protección de la privacidad en redes sociales, la contratación en el cloud computing, la regulación del Big Data, el uso de la información biométrica o el procesamiento de datos con fines comerciales. También del tratamiento de datos sensibles, datos de localización, datos a gran escala y datos de menores de 14 años. Las tareas del D.P.O., dentro de la Propuesta de Reglamento general de protección de datos del Parlamento Europeo y el Consejo, se señala en su Artículo 37. Concretamente el responsable o el encargado del tratamiento encomendarán al Delegado, como mínimo, las siguientes tareas:
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas. En una muestra más de la independencia y responsabilidad que caracteriza el ejercicio de sus funciones, el D.P.O deberá generar y guardar toda la documentación relativa a su asesoramiento. Este material sería de trascendental importancia en caso de conflicto al intentar clarificar las responsabilidades sobre una actuación negligente en materia de privacidad.

  • Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. Formación interna y auditorías, dos elementos claves en políticas de privacidad.
  • Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento

Es decir, supervisión desde el minuto inicial de cualquier tratamiento de datos, incluso en el diseño de aplicaciones. Especial atención a los derechos de los ciudadanos.
  • Velar por la conservación de la documentación contemplada en el artículo 28. La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad.

  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32. Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados.

  • Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34. Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.

  • Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.

  • Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia. Es por tanto intermediario en todas las comunicaciones entre responsable del fichero y las autoridades de control, manteniendo potestad de actuar a iniciativa propia.
Las empresas que incumplan las obligaciones establecidas en el Reglamento sufrirán como mínimo una de las sanciones siguientes:
  • Advertencia escrita en el caso de un primer incumplimiento no deliberado.

  • Auditorías periódicas de protección de datos.

  • Multa de hasta 100 millones de euros, o el 5% de su volumen de negocio anual, teniéndose en cuenta, entre otros, los siguientes factores:

    • La naturaleza, gravedad y duración de la infracción.

    • La intencionalidad o negligencia en la infracción.

    • El grado de responsabilidad de la persona física o jurídica y de las anteriores infracciones cometidas por dicha persona.

    • El carácter repetitivo de la infracción.

    • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
No queda ni rastro de la tipificación de las infracciones, ni de la sanción que correspondía a cada una de ellas (por incumplimiento leve, grave o muy grave). Así las cosas, las empresas deben ver esto como una llamada de atención y aprovechar el tiempo para adaptar (recordamos que es de obligado cumplimiento desde que se maneja un solo dato personal), revisar y reforzar sus políticas de gestión de la información con el fin de situarse en una posición adecuada para cumplir con los cambios legislativos antes de que estos entren definitivamente en vigor.

Emilio José García

Director Área Jurídica

Ir a Arriba