USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Directrices del GT29 sobre el delegad...

Directrices del GT29 sobre el delegado de protección de datos: figura clave para la responsabilidad («accountability»)

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información

Diario La Ley, Nº 2, Sección Legal Management, 12 de Enero de 2017, Editorial Wolters Kluwer

LA LEY 185/2017

Normativa comentada
Ir a Norma Regl. 2016/679 UE, de 27 Abr. (protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -Reglamento general de protección de datos-)
Comentarios
Resumen

La designación de un delegado de protección de datos (DPO) en virtud del Reglamento general de protección de datos es clave para cumplir con el principio de responsabilidad («accountability»), tanto por los responsables como encargados del tratamiento, además de ser una protección adicional para el interesado por lo que se refiere a su derecho fundamental a la protección de datos personales. Como explica este artículo, una reciente directriz del Grupo de trabajo del artículo 29 aclara algunas cuestiones relevantes sobre dicha figura.

I. LAS DIRECTRICES DEL GT29 SOBRE LOS DELEGADOS DE PROTECCIÓN DE DATOS

El protagonismo que tiene el delegado de protección de datos (en inglés, Data Protection Officer, DPO) en el marco reforzado de cumplimiento basado en la responsabilidad (en inglés, «accountability») (1) , que establece el Reglamento (UE) 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos) (en adelante, también citado como el «Reglamento»), ha llevado al Grupo de trabajo del art. 29 de la Directiva 95/46/CE (LA LEY 5793/1995) (en lo sucesivo, citado como «GT29») a dedicarle una de sus primeras directrices sobre dicha norma, que sirven, entre otros objetivos, para contar con elementos interpretativos de algunos aspectos de su articulado.

En concreto, el 13 de diciembre de 2016, el GT29 adoptó las Directrices sobre los Delegados de Protección de Datos («DPOs») (Guidelineson Data Protection Officers, WP 243) (2) así como un anexo con preguntas frecuentes (3) .

Estas directrices se centran en algunos aspectos relevantes sobre la figura del DPO, con la finalidad de clarificar algunas de las previsiones del Reglamento de manera que puedan servir como guía u orientación para quienes tienen que cumplir con la obligación de designarlo. Las directrices también están dirigidas a los propios DPOs, pudiendo servirles para profundizar en su papel, el alcance de sus funciones y responsabilidades, así como en el desarrollo de las mismas en su actividad diaria.

Cabe señalar que dichas directrices no son definitivas, ya que, al momento de llevar a cabo el presente análisis, se encontraban sujetas a la posibilidad de enviar comentarios al GT29 por quien esté interesado en ello hasta finales de enero de 2017. Esto supone que sea de esperar una versión actualizada de las mismas en un futuro próximo.

En cualquier caso, prestaremos atención en primer lugar a que, como se indica en las directrices, se trata de una figura que, aunque nueva en España por lo que se refiere a la obligación de designación, cuenta ya con importantes antecedentes, en particular en el ámbito europeo. Y sin perjuicio de lo anterior, lo fundamental es que las directrices se centran en el desarrollo de aspectos relativos a su designación, su posición y sus funciones.

II. UNA FIGURA CON EXTENSOS Y SÓLIDOS ANTECEDENTES

Aunque en España, y en algunos otros Estados miembros de la Unión Europea, la figura del delegado de protección de datos es una novedad, no es así en otros como, por ejemplo, Alemania, o en el caso de las instituciones y organismos de la Unión Europea.

Al analizarla, el GT29 deja claro que dicha figura no es un concepto nuevo y también recuerda que ya ha tenido oportunidad de referirse a su designación como una de las piedras angulares de responsabilidad (en inglés, «accountability»), además de otras importantes ventajas que puede conllevar al ser esencial para una protección de datos personales responsable.

Por lo que se refiere a sus antecedentes, esta figura apareció por primera vez en Alemania, en 1977, con la Ley Federal de Protección de Datos (en alemán, Bundesdatenschutzgesetz, BDSG), al incluirse en su sección 38 al «Beauftragterfür den Datenschutz».

Si se atiende a la normativa europea sobre protección de datos, la misma ya se encontraba en la Directiva 95/46/CE (LA LEY 5793/1995) del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Diario Oficial de la Unión Europea, serie L número 281, de 23 de noviembre).

A diferencia de lo que ocurre en el Reglamento, que la incluye como una obligación por quienes, tanto en el sector público como, en determinados supuestos, en el privado, tratan datos personales como responsables o encargados del tratamiento; la Directiva 95/46/CE (LA LEY 5793/1995) la contempla como la condición para poder aplicar «la simplificación o la omisión» a la obligación de notificación de tratamientos o ficheros a la autoridad de control o supervisión.

Al respecto, el apartado 2 del art. 18 de la Directiva 95/46/CE (LA LEY 5793/1995) comienza indicando que «Los Estados miembros podrán disponer la simplificación o la omisión de la notificación» cuando, conforme a lo previsto en el segundo guión, el «responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, a un encargado de protección de los datos personales que tenga por cometido, en particular:

  • hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
  • llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del art. 21 (LA LEY 5793/1995), garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados».

A la luz de dicha previsión, cabe señalar que algunas de sus funciones que se han incluido en el Reglamento (LA LEY 6637/2016) y a las que se refiere específicamente el GT29, fueron ya objeto de la Directiva 94/46/CE (LA LEY 5898/1994). Por ejemplo, además de las anteriores, en cuanto a la evaluación del riesgo que pueda suponer un tratamiento de datos personales, en su considerando 54 (LA LEY 5793/1995), la Directiva 95/46/CE indica que «a la vista de todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla».

Unos años después de la citada Directiva, la figura fue introducida en el ámbito de las instituciones y organismos de la Unión Europea a través del Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000) del Parlamento Europeo y del Consejo que se aplica al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión Europea (Diario Oficial de la Unión Europea, serie L número 8, de 12 de enero).

Y también, en el sector público, como indica el GT29 en sus directrices, la designación del DPO es obligatoria en el caso de las autoridades competentes a las que se refiere el art. 32 de la Directiva (UE) 2016/680 (LA LEY 6638/2016) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI (LA LEY 19814/2008) del Consejo (Diario Oficial de la Unión Europea, serie L número 119, de 4 de mayo). El apartado 1 del citado artículo indica que «Los Estados miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos. Los Estados miembros podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales».

III. LA APROXIMACIÓN EUROPEA A LA FIGURA DEL DPO

Ni el Reglamento ni las directrices proporcionan una definición del concepto de DPO, si bien estas últimas al exponer los criterios y la terminología utilizada en el art. 37.1 (LA LEY 6637/2016)del mismo sí proporciona algunas orientaciones sobre dicha figura que permiten identificar quién es y quién no es un DPO conforme a la aproximación europea a dicha figura.

Al respecto, es la Comisión Europea, en su documento de trabajo sobre la evaluación de impacto relativo a la propuesta de Reglamento (4) , la que lo define como «una persona responsable en el seno de un responsable o un encargado del tratamiento para supervisar y monitorear de una forma independiente la aplicación interna y el respeto de las normas sobre protección de datos. El DPO puede ser tanto un empleado como un consultor externo» (5) .

Al referirse a aquellos casos en los que una organización ni tenga obligación de designar a un DPO ni quiera hacerlo, pero asigne empleados o contrate consultores externos con tareas relativas a la protección de datos personales, el GT29 advierte que se debe dejar claro que no se trata de un DPO en el sentido del Reglamento.

Lo anterior implica que sea importante atender a que el GT29 sostenga que, incluso cuando la designación es voluntaria, el DPO tenga que cumplir con los requisitos previstos en los arts. 37 a 39 del Reglamento (LA LEY 6637/2016) por lo que se refiere a designación, posición y funciones. En otro caso, incluso aunque se lleven a cabo tareas o funciones propias de un DPO, ya sea por un empleado o un colaborador externo, dicha persona no será considerada como tal.

Es decir, se trata así de asegurar que la figura del DPO, incluso cuando sea designada de manera voluntaria, cumple con los altos estándares que, sobre la misma, ha establecido el Reglamento y ello con la finalidad de proteger a la persona por lo que se refiere a sus derechos y libertades fundamentales, en particular en su derecho fundamental a la protección de datos personales.

En definitiva, y más allá de la definición que puede encontrarse en el documento de la Comisión Europea ya mencionado, el GT29 incide en sus directrices en que el DPO, para poder ser considerado como tal, tiene que cumplir con los requisitos establecidos en el Reglamento. Y esto es razonable ya que, como indica el GT29, su designación puede servir también para ofrecer una protección adicional del derecho fundamental a la protección de datos personales.

IV. DESIGNACIÓN OBLIGATORIA O VOLUNTARIA DEL DPO

Sin separarse del orden establecido por el articulado del Reglamento, la primera cuestión a la que se refiere el GT29 en sus directrices es la relativa a la designación del DPO, prevista en el art. 37 (LA LEY 6637/2016).

Al tratar la designación del DPO, el GT29 se centra en los diferentes supuestos que pueden darse en la práctica y trata también algunos conceptos clave, tales como los relativos a «institución u organismo público», «actividades principales», «gran escala» u «observación habitual y sistemática», así como otras cuestiones relacionadas o que pueden estar relacionadas con la designación. Es decir, el GT29 analiza algunos de los criterios a considerar para la designación del DPO y sobre la terminología utilizada en el Reglamento.

Por lo que se refiere a la designación del DPO, las directrices abordan los supuestos en los que la misma es tanto obligatoria como voluntaria.

En el primer caso, cuando la designación es obligatoria, las directrices comienzan reproduciendo el listado de supuestos previstos en el art. 37.1 del Reglamento (LA LEY 6637/2016), que son los relativos a: a) el tratamiento de los datos personales, con independencia de cuáles sean, se lleve a cabo por «una autoridad u organismo público, excepto los tribunales en el ejercicio de su función jurisdiccional» (u otras autoridades judiciales independientes, como indica el considerando 97); b) «las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala», o c) «las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales» (art. 9 del Reglamento (LA LEY 6637/2016)) «y» «de datos relativos a condenas e infracciones penales» (art. 10 (LA LEY 6637/2016)).

Al respecto, dado que en los supuestos anteriores pueden darse situaciones que susciten dudas sobre si hay que designar o no a un DPO, el GT29 recomienda que se realice un análisis interno que sirva para determinar si hay que cumplir o no con dicha obligación, de manera que, documentándolo, ello permita demostrar que se han tenido en consideración «adecuadamente» los factores relevantes.

También en relación con la obligación de designación del DPO, y referido al primer supuesto, es decir, por «una autoridad u organismo público», el GT29 aborda en particular dicho concepto, considerando que, a falta de una definición en el Reglamento, será el Derecho de cada Estado miembro el que tenga que concretar qué se entiende por tal. Esto lleva al GT29 a sugerir que en aquellos casos en los que una organización se rija por derecho público en la prestación o gestión de servicios, tendrá obligación de designar a un DPO.

A modo de ejemplo en el caso de España, cabe plantear que, entre otros, los Colegios Profesionales, en aquellos casos en los que ejerzan competencias de derecho público, podrían tener la obligación de designar a un DPO. Y al respecto puede y debe tenerse en consideración el criterio establecido por la Agencia Española de Protección de Datos, a través de diversos informes jurídicos (6) , sobre la naturaleza pública o privada de los ficheros de datos de carácter personal de los que son responsables.

En este sentido, la pluralidad de situaciones que pueden darse en la práctica, lleva al GT29 a recomendar que cuando una persona u organización preste o gestione servicios públicos, incluso aunque no tenga la obligación de designar a un DPO, lo haga como una buena práctica y que dicha designación se refiera a todos los tratamientos de datos que lleve a cabo, incluso aunque no estén relacionados con el desarrollo de funciones públicas. Cabría plantearse que, en este punto, las directrices del GT29 no acaban de ser suficientemente claras y que la obligación de designación es exigible también, sin excepción o duda alguna, cuando una persona u organización ejerza competencias de derecho público, con independencia de la forma en que se produzca dicho ejercicio.

Es así que, más que establecer un criterio definitivo, ya que la definición del concepto referido se deja en manos de los Estados miembros, el GT29 termina con una recomendación, a modo de buenas prácticas a seguir, en el caso de organizaciones que desempeñen funciones públicas y pudieran no tener la obligación de designar al DPO.

Sin perjuicio de lo anterior, cuestiones tales como la certificación del DPO puede que sean, o no, objeto de una versión actualizada de las directrices, por lo que habrá que esperar a su publicación.

Finalmente, por lo que se refiere a la designación del DPO en España, hay que esperar todavía a ver cómo la ya anunciada reforma de la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal o, en su caso, cualquier otra norma en la materia, puedan abordar la inclusión del DPO en aquellos casos en los que el Reglamento establece que deberá ser designado también si así lo exige el Derecho del Estado miembro. En cualquier caso, las directrices sirven ya para que quienes tengan que o designen voluntariamente a uno o varios DPOs puedan contar con una referencia interpretativa de algunos aspectos relevantes del citado Reglamento que, incluso, son aplicables en el caso de las autoridades competentes a las que se refiere la Directiva (UE) 2016/680 (LA LEY 6638/2016), ya mencionada.

V. CONCEPTOS RELACIONADOS CON LA DESIGNACIÓN DEL DPO

Con la finalidad de aclarar algunos conceptos relevantes, dando así también respuesta, o al menos intentándolo, a las cuestiones planteadas durante un taller de trabajo en el que se analizó la figura del DPO (7) , el GT29 se refiere también a tres conceptos clave que aparecen en el apartado 1 del art. 37 (LA LEY 6637/2016) que están relacionados con la designación del DPO y que son los relativos a «actividades principales», «gran escala» y «observación habitual y sistemática».

En los tres casos hay que mencionar que el GT29 responde remitiéndose a los considerandos del Reglamento, de manera que por lo que se refiere a «actividades principales», se remite al considerando 97 (LA LEY 6637/2016); en cuanto a «gran escala», lo hace al considerando 91 (LA LEY 6637/2016) y por lo que se refiere «observación habitual y sistemática», se remite al considerando 24 (LA LEY 6637/2016).

El GT29 intenta dejar así claro que por «actividades principales» deben entenderse las «primarias», lo que excluye las «auxiliares», proporcionando a tal fin algunos ejemplos como los relativos a los tratamientos de datos personales llevados a cabo en un hospital o por una compañía de seguridad privada. Y concluye el GT29 que cuando un tratamiento de datos personales pueda considerarse una actividad o función meramente auxiliar (en inglés, «ancillary») no se entenderá incluida entre las primeras.

En el caso del concepto de tratamientos a «gran escala», el GT29, basándose en la explicación que al respecto ofrece el considerando 91 del Reglamento, ya que tampoco es un concepto que se defina ni en los considerandos ni en el articulado, proporciona algunos ejemplos, puesto que dicho concepto no depende de términos cuantitativos, como por ejemplo la cantidad de datos personales tratados o el número de interesados a los que se refieren. Por tanto, proporciona algunos factores a considerar, incluyendo, no obstante, el volumen de datos y/o el rango de datos personales tratados entre los mismos a pesar de lo indicado anteriormente.

Y en cuanto al concepto de «observación habitual y sistemática», el GT29 se basa en la explicación dada en el considerando 24 (LA LEY 6637/2016) para dejar claro que son todas las formas de seguimiento en Internet, la posterior elaboración de un perfil o incluso el uso con fines de publicidad comportamental. Pero más allá de estos casos, el GT29 aclara que han de entenderse incluidos también algunos otros tratamientos que pueden suponer una observación «habitual» y «sistemática», ofreciendo algunos ejemplos.

VI. CRITERIOS A CONSIDERAR PARA LA DESIGNACIÓN DEL DPO

Sin perjuicio de algunos aspectos ya mencionados, como el relativo a que el uso de la denominación de DPO queda reservado para quienes cumplan con los criterios previstos en el Reglamento, de manera que no pueda generarse confusión al respecto, el GT29 se refiere también en sus directrices, por una parte, a la experiencia y conocimientos o habilidades del DPO y, por otra parte, a la publicación y comunicación de sus datos de contacto.

1. Experiencia y conocimientos o habilidades del DPO

De nuevo, siguiendo el articulado del Reglamento, el GT29 se basa en lo dispuestos en el art. 37.5 (LA LEY 6637/2016), cuando indica que el DPO «será designado atendiendo a»:

  • sus cualidades profesionales,
  • en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y
  • su capacidad para desempeñar las funciones indicadas en el artículo 39 (LA LEY 6637/2016).

Además, el GT29 recuerda, al respecto, que el considerando 97 (LA LEY 6637/2016) explica que el conocimiento especializado necesario del DPO se «debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados».

En cuanto al nivel de experiencia del DPO, ya que dicho concepto no está «estrictamente definido» como explica el GT29, lo importante es considerar, según lo indicado en las directrices, la sensibilidad, la complejidad y la cantidad de datos tratados. Es decir, la elección del DPO debe hacerse considerando todos los aspectos del tratamiento, de manera que su nivel de experiencia sea el adecuado y, sobre todo, siendo conscientes de que supone una decisión que requiere que se haga «cuidadosamente», o de manera responsable.

También se refiere el GT29 a las cualidades profesionales, incidiendo en que el factor fundamental a considerar es que el DPO tenga experiencia, conocimiento y práctica, en derecho nacional y europeo sobre protección de datos. Como parte de dicho conocimiento, el GT29 indica en sus directrices que deba tener un «profundo conocimiento» del Reglamento.

El GT29 también explica que, dependiendo de si se trata de un DPO de una organización del sector privado o público, éste deberá tener conocimiento, en el primer caso, del sector de negocio de la organización y, en el segundo caso, de las reglas y procedimientos aplicables. Habría que añadir que, cuando se trata de organizaciones del sector privado, además del sector de negocio, el DPO debe tener, en particular, un conocimiento profundo del modelo de negocio de la organización cuando se base en el tratamiento de datos personales para facilitar también la innovación y la competitividad de la organización al mismo tiempo que se asegura el derecho fundamental a la protección de datos personales.

El papel que puedan desempeñar las autoridades de protección de datos al respecto es también relevante, recomendando el GT29 que estas «promuevan formación adecuada y regular para los DPOs». Al respecto, cabe resaltar que la Agencia Española de Protección de Datos, en su Plan Estratégico 2015-2019, prevé, además de elaborar una guía para DPOs, diseñar formación específica dirigida tanto a DPOs como a profesionales de la privacidad (8) .

Y por lo que se refiere a las capacidades o habilidades del DPO para desarrollar sus funciones, el GT29 explica que las mismas deben entenderse referidas, por una parte, a las cualidades personales y conocimiento del DPO, lo que debería incluir tanto su integridad como altos estándares éticos (9) , y, por otra parte, a su posición dentro de la organización.

2. Publicación y comunicación de datos de contacto del DPO

Como parte de la designación del DPO, ya que son objeto del apartado 7 del art. 37 del Reglamento (LA LEY 6637/2016), el GT29 se refiere también a la publicación de los datos de contacto del DPO y la comunicación de los mismos a la autoridad de protección de datos, indicando que con ambos requisitos se trata de asegurar que los interesados, cuyos datos personales son objeto de tratamiento, puedan contactar directamente al DPO.

Dando respuesta específicamente algunas cuestiones suscitadas en relación con los datos de contacto del DPO (10) , el GT29 aclara que el Reglamento no requiere que se publique el nombre del DPO, siendo por tanto algo que, como buena práctica, deben considerar en su caso el responsable del tratamiento y el DPO.

El GT29 se centra también en el significado de disponibilidad del DPO, refiriéndose a que, considerando los diferentes supuestos que pueden darse en la práctica, aquél tiene que estar disponible tanto para los interesados como para las autoridades de supervisión, llegando a indicar que la comunicación con estas últimas tiene que ser en el idioma o idiomas de las mismas.

Aprovecha también el GT29 para indicar que la comunicación con el DPO tiene que llevarse a cabo a través de medios de comunicación seguros, lo que debe entenderse como una garantía para el interesado y una forma de asegurar la obligación de confidencialidad que tiene aquél. Y aclara también que dicha obligación no impide al DPO dirigirse a la autoridad de supervisión cuando sea necesario.

Dado el objetivo de que la publicación de los datos de contacto del DPO puede servir para que sea contactado directamente por los interesados, y a pesar de que tanto el Reglamento como el GT29 no se pronuncian al respecto, cabría considerar que en el caso de la comunicación de los datos de contacto a la autoridad de protección de datos, quizás se deba articular alguna forma de publicación de los mismos, tal y como ocurre en otros Estados miembros de la Unión Europea donde ya se cuenta con la figura del DPO, como por ejemplo en Luxemburgo, donde la National Commission for Data Protection ha publicado ya una lista de DPOs (11) .

VII. POSICIÓN DEL DPO

La posición del DPO, conforme al art. 38 del Reglamento (LA LEY 6637/2016), es el segundo de los requisitos a los que se refieren las directrices del GT29, dividiéndolo, o centrando su atención, en las cuestiones relativas a la participación del DPO en todas las cuestiones en materia de protección de datos personales, los recursos necesarios, la no sujeción a instrucciones y la «independencia» en su actuación, la «inmunidad» frente al despido o sanciones por el desarrollo de sus funciones y el conflicto de intereses.

En primer lugar, siguiendo la redacción del citado artículo, el GT29 incide en que es «crucial» que el DPO participe en todas las cuestiones relativas a la protección de datos y aclara que debe hacerlo desde «el momento más temprano posible», interpretando así la referencia del Reglamento a «en tiempo oportuno», para no dejar lugar a dudas y que dicha participación resulte ser adecuada.

Además de lo anterior, el GT29 incluye aquí una directriz trascendental, que es la relativa a que, para facilitar el objetivo de cumplimiento («compliance») con el Reglamento y asegurar la aproximación de la privacidad desde el diseño, las organizaciones deben incorporar como parte de su gobernanza el procedimiento relativo a informar y consultar al DPO. De esta manera se asegura que el DPO pueda participar siempre que sea necesario o incluso conveniente y, al mismo tiempo, se establece un procedimiento interno fundamental que puede reducir riesgos por lo que se refiere al tratamiento de datos personales.

El GT29 también ofrece, al respecto, algunos ejemplos de medidas o acciones que deben considerarse para asegurar la participación del DPO, tales como que sea invitado a participar con regularidad a ciertas reuniones relativas a la gestión de la organización; que se le proporcione toda la información relevante, en tiempo oportuno, para que pueda dar su adecuada opinión, o que sea consultado lo antes posible cuando se produzca una violación de datos u otro incidente.

Y el GT29 recomienda también que se considere el desarrollo de guías o programas que ayuden a orientar cuándo se tiene que consultar al DPO, lo que sin duda servirá también para apoyar la labor diaria del DPO.

En segundo lugar, el GT29 se refiere a que al DPO se le proporcionen los «recursos necesarios» para el desempeño de sus funciones listando a tal fin algunos ejemplos de qué puede entenderse al efecto. Es así que, entre otros ejemplos, el GT29 recomienda que se le proporcione apoyo a su función por parte de la dirección; tiempo suficiente para el desempeño de sus funciones, debiendo prestar atención específica a los casos en que desarrolle su actividad a tiempo parcial o desempeñe, al mismo tiempo, otras funciones; se le asignen recursos económicos, materiales y humanos adecuados; se comunique su designación a toda la organización, se facilite su formación continua o se le dé el acceso necesario a todas las áreas de la organización (recursos humanos, tecnologías de la información, seguridad, etc.) de las que puede recibir tanto apoyo como información fundamental para el desempeño de sus funciones.

Al respecto, el GT29 ofrece también un criterio claro y relevante, que es el relativo a que cuanta mayor es la complejidad y/o sensibilidad de los tratamientos, más recursos son necesarios para el DPO con la finalidad de que pueda desempeñar su función.

En tercer lugar, el GT29 se refiere a otra de las cuestiones relevantes sobre la función del DPO y clave para el estatuto jurídico de la figura en sí misma, que es la relativa a la no sujeción a instrucciones y la «independencia» en su actuación. En concreto, el GT29 resalta que la «independencia» del DPO, entendida como «autonomía» para el desempeño de sus funciones, es una de las garantías básicas que establece el Reglamento y que, por tanto, tienen que asegurar quienes lo designen.

Aclara también el GT29 que la «autonomía» del DPO no significa que este tenga poderes de decisión fuera las tareas que se le asignan en virtud del art. 39 del Reglamento (LA LEY 6637/2016).

Dicha «autonomía» del DPO debe entenderse, a la vista del Reglamento y de las directrices del GT29, como una garantía frente a posibles injerencias en el desarrollo de sus funciones. Es decir, la autonomía está estrechamente relacionada con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos personales. Cualquier tipo de injerencia en el desarrollo de las funciones del DPO, incluida, por ejemplo, el no proporcionar los recursos necesarios para el desarrollo de sus funciones, implicaría vulnerar su estatuto jurídico e incluso podría llegar a vulnerar también el derecho fundamental a la protección de datos personales.

También, como indica el GT29, dicha autonomía se refiere al criterio profesional del DPO, ya que pueden darse situaciones en las que su opinión sea contraria a las decisiones que finalmente adopten quienes lo han designado, ya sea un responsable o encargado del tratamiento. Y al respecto, el GT29 recuerda, una vez más, que quien es responsable de cualquier incumplimiento del Reglamento es dicho responsable o encargado del tratamiento, no el DPO.

En cuarto lugar, siendo también una cuestión fundamental y relacionada con la anterior, el GT29 presta atención a la previsión del Reglamento sobre la «inmunidad» del DPO frente al despido o sanciones por el desarrollo de sus funciones.

Como explica el GT29 en sus directrices, esta «inmunidad», que el Reglamento le otorga al DPO, ayuda también a reforzar su independencia y asegurar que pueda actuar al amparo de la misma, sin injerencias, de manera que se trata de otra de las garantías esenciales por lo que se refiere a su estatuto jurídico.

Las directrices ayudan a comprender así el alcance del Reglamento en este punto, ya que el GT29 explica que las sanciones a las que se refiere aquél son las que se pudieran imponer al DPO en relación con el desempeño de sus funciones y, por tanto, no a otras que le sigan siendo exigibles por otros motivos.

En este sentido, el GT29 explica también que las sanciones al DPO prohibidas por el Reglamento pueden producirse de varias formas, tanto directas como indirectas, si por ejemplo en este último caso se impide u obstaculiza su promoción profesional, a lo que pueden añadirse otros, tales como que por parte de la organización que le ha designado no se le proporcionen los recursos necesarios o que no reciba el apoyo necesario para el desarrollo de sus funciones.

Unido a lo anterior, el GT29 explica también que dicha «inmunidad» del DPO no significa que no pueda ser despedido por motivos objetivos, que incluso deberían entenderse referidos a un mal desempeño de sus funciones o un incumplimiento de sus obligaciones ya sea como empleado o consultor. E indica también que el Reglamento no específica cómo y cuándo un DPO puede ser despedido o reemplazado por otra persona, debiendo considerar que asegurar su estabilidad es clave para garantizar su actuación independiente, por lo que exhorta a las organizaciones a que adopten medidas al respecto.

Y, en quinto lugar, el GT29, siguiendo las previsiones del art. 38 del Reglamento (LA LEY 6637/2016) se refiere en sus directrices al conflicto de intereses, insistiendo en que, como ya se había indicado anteriormente, la ausencia del mismo está estrechamente relacionada con que actúe de manera independiente.

Lo anterior sirve al GT29 para explicar que el DPO no pueda ser alguien que esté en una posición de tomar decisiones o influir en las decisiones relativas al tratamiento de los datos personales, es decir los fines y medios del tratamiento, dada su posición senior en la organización, tales como el presidente o propietario de la misma, el responsable financiero, el responsable del servicio médico, el responsable de marketing, el responsable de recursos humanos, el responsable del área de tecnologías de la información (TI), o incluso en cualquier otro puesto, incluso si no es senior, que tenga una posición o desempeñe una función que implique intervenir en la determinación de dichos fines y medios del tratamiento.

El GT29 concluye esta cuestión ofreciendo algunas orientaciones que, dependiendo en cada caso de las actividades, tamaño y estructura, podrían servir a las organizaciones como buenas prácticas para identificar situaciones que puedan suponer un conflicto de intereses, tales como identificar puestos que puedan resultar incompatibles con la función del DPO o desarrollar reglas internas para evitar conflictos de intereses.

VIII. FUNCIONES DEL DPO

El último apartado de las directrices del GT29 tiene por objeto el art. 39 del Reglamento (LA LEY 6637/2016) y, sin perjuicio de las funciones específicas previstas en el mismo, se centra en las relativas a la supervisión del cumplimiento con el Reglamento y al papel del DPO en la evaluación de impacto relativa a la protección de datos. También, en relación con las funciones del DPO, el GT29 se refiere a las implicaciones de la aproximación basada en el riesgo y al papel del DPO en cuanto al registro de las actividades del tratamiento.

Aunque lo hace al referirse ya a la primera función que analiza, la relativa a la supervisión del cumplimiento, el GT29 incide en el hecho de que la lista incluida en el art. 39 es abierta, para más adelante recordar que son las «mínimas» necesarias que tendrá el DPO. Es decir, en cualquier caso, el DPO, para poder ser considerado como tal, tiene que tener asignadas las funciones «mínimas» que prevé el Reglamento en el citado artículo. No obstante, aunque no lo digan ni el Reglamento ni el GT29 en sus directrices, que se le atribuyan o asignen dichas funciones no implica, en la práctica, que tenga que desempeñarlas por sí mismo, ya que pueden ser, a su vez, objeto de desarrollo por parte de un equipo que dependa del DPO o incluso externalizadas.

Además, estas funciones deben entenderse sin perjuicio de otras que pueda tener el DPO y que, al mismo, tiempo están relacionadas con algunas de las obligaciones previstas en el Reglamento, así como con otras cuestiones prácticas relevantes.

En este sentido, la función relativa a la supervisión del cumplimiento debe ponerse, siguiendo con lo previsto en el considerando 97, en relación con el hecho de que «el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos». Y dicha previsión debe entenderse también como una obligación del DPO de proporcionar dicha ayuda, ya que la versión en inglés del Reglamento utiliza la expresión «shouldassist» al referirse a éste en dicho considerando.

A modo de ejemplo, el GT29 incluye algunas acciones que puede realizar el DPO para cumplir con la función de supervisión, tales como las de recabar información para identificar los tratamientos de datos, analizar y comprobar el cumplimiento de los tratamientos, así como informar, aconsejar y remitir recomendaciones dirigidas al responsable o al encargado del tratamiento.

Por si todavía hubiera lugar a alguna duda, el GT29 aclara también que la función de supervisión que se asigna al DPO debe entenderse en el sentido de que la responsabilidad del cumplimiento es del responsable del tratamiento, pero no de aquél, ya que se trata de una «responsabilidad corporativa» de dicho responsable del tratamiento.

En cuanto al papel que tiene el DPO en la evaluación de impacto relativa a la protección de datos, el GT29 destaca que su función se convierte, al mismo tiempo, en un deber del en cuanto a «ofrecer el asesoramiento que se le solicite» y «supervisar» la aplicación de dicha evaluación. Sin perjuicio de lo anterior, el GT29 insiste en que la obligación de llevar a cabo la evaluación de impacto relativa a la protección de datos es exigible al responsable del tratamiento y no al DPO, ya que para este último es una función así como, en su caso, un deber en cuanto a proporcionar asistencia al responsable del tratamiento durante su realización.

El GT29 ofrece también algunas recomendaciones dirigidas al responsable del tratamiento en relación con la evaluación de impacto relativa a la protección de datos que se refieren, por una parte, a su realización, y, por otra parte, a la intervención del DPO.

Con respecto a la realización de la evaluación de impacto, el GT29 recomienda que el responsable del tratamiento busque el asesoramiento del DPO, entre otros aspectos, por lo que se refiere a si se debe llevar a cabo o no, la metodología a utilizar, si se debe llevar a cabo internamente o externalizar, así como a evaluar si las conclusiones determinan que el tratamiento cumple o no con el Reglamento.

Y por lo que se refiere a la intervención del DPO en la realización de la evaluación de impacto relativa a la protección de datos, el GT29 recomienda al responsable del tratamiento que, en particular en caso de desacuerdo con el consejo que pueda proporcionar dicho DPO, se incluya por escrito, para dejar así evidencia, como parte de la documentación de la evaluación de impacto relativa a la protección de datos y las razones por las que no se ha seguido el consejo del DPO. También, el GT29 recomienda que el responsable del tratamiento, entre otros en el contrato con el DPO, establezca claramente las tareas específicas del mismo y su alcance en relación con el desarrollo de dicha evaluación de impacto.

A continuación, atendiendo al apartado 2 del art. 39 del Reglamento (LA LEY 6637/2016), el GT29 recuerda lo que denomina un «principio general y de sentido común» aplicable al desarrollo de las funciones del DPO en cuanto a que este tiene que priorizarlas y enfocarse en los tratamientos de datos personales que impliquen un mayor riesgo, aunque no define qué se entiende por tal de manera que se trata de una cuestión que queda pendiente para una versión posterior de las directrices o unas directrices específicas al respecto.

La última cuestión a la que se refiere el GT29 en relación con las funciones del DPO es la relativa al papel que tiene y puede desempeñar en la elaboración y mantenimiento del registro de las actividades del tratamiento.

Insistiendo, de nuevo, en que se trata de una obligación exigible al responsable o al encargado del tratamiento y «no al DPO», el GT29 resalta que, en la práctica, los DPOs suelen elaborar inventarios y mantener un registro de operaciones de tratamiento a partir de la información que se les proporciona y que incluso dicha práctica se encuentra prevista en algunas leyes nacionales así como en el caso de la normativa aplicable a las instituciones y organismos europeos en virtud del Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000).

Al referirse a esta otra posible función del DPO, el GT29 resalta que las previstas en el apartado 1 del art. 39 del Reglamento (LA LEY 6637/2016) son las que el DPO «tiene que tener como mínimo», de manera que tanto el responsable como el encargado del tratamiento pueden asignarle otras, como por ejemplo la relativa a mantener el registro de las actividades del tratamiento, siendo su implementación una obligación de aquéllos.

Y el GT29 aprovecha para referirse también a dicha obligación en términos de que se trata de una herramienta que ayuda al DPO a desempeñar sus tareas o funciones de supervisión del cumplimiento, así como de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento.

Además, el GT29 también pone dicha función en conexión con el principio de responsabilidad («accountability»), exponiendo que el registro de las actividades de tratamiento es una herramienta que permite tanto al responsable del tratamiento como a la autoridad de control tener una visión de conjunto de los tratamientos de datos personales y, sobre todo, que se trata de un «prerrequisito para el cumplimiento» así como de una «medida de responsabilidad efectiva» («effective accountability»).

En definitiva, si bien las directrices del GT29 sobre la figura del DPO serán revisadas a la vista de los comentarios que pueda recibir el mismo, queda claro que el DPO es esencial y así lo ha tratado el Reglamento en su articulado si las organizaciones, ya sean responsables o encargados del tratamiento, quieren conseguir los objetivos de implementar medidas que les permitan desarrollar programas de cumplimiento a partir de una aproximación basada en el riesgo de manera que puedan demostrar una responsabilidad efectiva y, al mismo tiempo, ser competitivas, en particular, en el marco de la economía digital.

(1)

Véase Grupo de trabajo de protección de datos del art. 29, Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, adoptado el 13 de julio de 2010. Consultado en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp173_es.pdf

Ver Texto
(2)

Consultadas en http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

Ver Texto
(3)

Consultado en http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

Ver Texto
(4)

Comisión Europea, Commission Staff Working Paper, Impact Assessment, SEC (2012) 72 final, Brussels, 25-1-2012. Consultado en http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52012SC0072&qid=1483725628791&from=ES

Ver Texto
(5)

Traducción del original en inglés.

Ver Texto
(6)

Véase https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/naturaleza_pub_pri_ficheros/index-ides-idphp.php

Ver Texto
(7)

Se trata del Fablab workshop que, bajo el título «GDPR/fromconcepts to operational toolbox, DIY», fue organizado por el GT29 el 26 de julio de 2016 en Bruselas. Un documento con las conclusiones del debate puede verse en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2016/20160930_fablab_results_of_discussions_en.pdf

Ver Texto
(8)

Agencia Española de Protección de Datos, Plan Estratégico 2015-2019. Consultado en http://www.agpd.es/portalwebAGPD/LaAgencia/common/Plan_estrategico_AEPD.pdf#Plan%20estrat%C3%A9gico

Ver Texto
(9)

Al respecto, como referencia en lo que resulte aplicable, podría y debería tenerse también en consideración Supervisor Europeo de Protección de Datos, Paperon Professional Standards for Data Protection Officers of the EU institutions and bodies working under Regulation (EC) 45/2001, 14 october 2010. Consultado en https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/DataProt/10-10-14_DPO_Standards_EN.pdf

Ver Texto
(10)

Al respecto, véase la carta enviada por la Confederation of European Data Protection Organisations (CEDPO) al GT29, con fecha 7 de octubre de 2016. Consultada en http://www.cedpo.eu/wp-content/uploads/2015/01/CEDPO-Letter-and-position-on-DPO-to-WP-19-10-07-2016.pdf

Ver Texto
(11)

http://www.cnpd.public.lu/fr/charge-protection/devenir-charge/doc_liste_charges_agrees.pdf

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll