OPINIÓN

Rafael Velázquez, Consultor legal TIC. Certified Data Privacy Professional, CDPP

El delegado de protección de datos en el entorno de la empresa

La aplicación del Reglamento General de Protección de Datos de la Unión Europea (RGPD) en los Estados miembros, a partir del 25 de mayo de 2018, representa un profundo cambio de mentalidad para las figuras de responsable del tratamiento (RT) y encargado del tratamiento (ET).

En términos informáticos, supone una especie de "reinicio" –aunque no "reseteo"–, pues no se parte de cero y hay que guardar los cambios efectuados.

El RGPD constituye un reto para las empresas, que deben tener presente lo que la norma comunitaria contempla vinculado con:

  • Los principios que deben iluminar el tratamiento.– Nuevos derechos del interesado.
  • La implementación de las medidas técnicas, organizativas y contractuales basadas en un análisis de riesgos previo.
  • La responsabilidad proactiva del RT.– La protección de datos desde el diseño y por defecto.
  • La adhesión a códigos de conducta y la expedición de certificaciones como fórmulas para acreditar el cumplimiento.
  • La notificación a la autoridad de control de las violaciones de la seguridad de los datos personales.– El incremento sustancial de la cuantía de las sanciones administrativas o el nombramiento del delegado de        protección de datos (DPD), al que se dedican estas páginas.

Delegado de protección de datos

estudiantes_prot_datos
El DPD desarrollará funciones de asesoramiento, supervisión, concienciación, formación, cooperación, consulta o interlocución con los interesados.

El DPD es una de las novedades que proporciona el RGPD. Se trata de una figura que "pivota" entre diferentes departamentos o áreas de la empresa, como pueden ser Recursos Humanos, Seguridad Corporativa, Legal, Marketing, Comercio electrónico, Financiero o Auditoría, esencialmente. El DPD se constituye como el interlocutor del RT o ET con la autoridad de control (que en nuestro país es la Agencia Española de Protección de Datos), de los titulares del derecho a la protección de datos o interesados y de los organismos de certificación, entre otros.  

El nombramiento del DPD no tiene carácter de obligatorio para todos los RT y ET, pues el RGPD acota la designación para aquellas empresas cuyas "actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o [...] en el tratamiento a gran escala de categorías de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10".

De acuerdo con el Art. 37.2, su nombramiento también es preceptivo, cuando el tratamiento lo acometa "una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial". Sin embargo, el RGPD comprende la posibilidad del nombramiento del DPD con carácter voluntario en situaciones diferentes a las indicadas anteriormente, así como una designación obligatoria cuando "el Derecho de la Unión o de los Estados miembros" lo requiera. En el caso de grupos empresariales, éstos podrán nombrar un único DPD "siempre que sea fácilmente accesible desde cada establecimiento".

Un aspecto primordial que el RGPD plantea es garantizar la viabilidad de esta nueva figura; si no dispusiera de los recursos necesarios para su funcionamiento, nacería muerta. En este sentido, la norma comunitaria establece que el RT o el ET que nombre al DPD, le asignarán "los recursos necesarios" para realizar sus funciones. Expresión en la que tienen cabida: recursos tecnológicos, humanos, servicios, bienes muebles e inmuebles, así como la pertinente dotación presupuestaria que permita contratar servicios especializados externos esenciales para el desarrollo de su actividad, entre otros.

La independencia del DPD

El RGPD también tiene en cuenta un asunto más sutil como es "la independencia" del DPD. Este profesional es un miembro de la plantilla del RT o ET, vinculado a los anteriores por un contrato de trabajo, que despliega sus funciones en el perímetro de organización y poder del empleador o empresario. No es necesario profundizar mucho en estos entornos para que aflore la "amalgama de intereses", "relaciones de poder", etcétera, generadas entre sus miembros. Todo eso condiciona la toma de decisiones y puede afectar a la continuidad del negocio debido a la naturaleza de los riesgos inherentes al tratamiento de los datos personales.

Conocedor de este sustrato, el RGPD refuerza la independencia del DPD precisando que el RT y el ET deberán garantizar que éste "no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones". Además, obliga a los anteriores a mantenerlo en su puesto mientras desarrolla sus tareas sin que sea posible destituirlo o sancionarlo con motivo de la práctica de las mismas, salvo que se produzca un incumplimiento flagrante de éstas.

El RGPD también apuntala la independencia y autonomía del DPD mediante la expresión "rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado [del tratamiento]". Esto supone conectar al DPD directamente con la Alta Dirección de la empresa, estableciendo una línea directa con el consejero delegado o el director general, a la vez que le coloca en el organigrama del RT o ET a un nivel elevado.

Como se ha expuesto, el DPD puede ser un miembro de la plantilla del RT o ET; es decir, un empleado que opera en régimen de derecho laboral o, por el contrario, un profesional vinculado al RT o ET mediante un contrato de prestación de servicios. En ambos supuestos, el DPD se designará, conforme establece el RGPD en el Art. 37.5, atendiendo "en particular, a sus conocimientos especializados del Derecho y a la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39". Son matices que tienen gran relevancia pues, al fin y al cabo, el DPD tendrá que supervisar el cumplimiento de una norma de tipo legal, no técnica, como es el RGPD, para lo que deberá contar con la adecuada formación jurídica. Se trata de una circunstancia que además le permitirá moverse holgadamente con la autoridad de control competente, entidad que se rige por el derecho administrativo.

Para acceder al contenido completo pincha aquí.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual