Viernes, 08 Junio 2018

La figura del delegado de protección de datos

VolverEl pasado 25 de mayo de 2018 entraba en aplicación y empezaba a ser de obligado cumplimiento el Reglamento (UE) 2016/67 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Este Reglamento General Europeo de Protección de Datos (en adelante RGPD), incorpora algunas novedades, de entre las que destaca la figura del Delegado de Protección de Datos (en adelante, DPD).

Desde el Departamento de Derecho Mercantil y  Digital de Belzuz Abogados, S.L.P., como abogados expertos en protección de datos personales, hemos considerado la conveniencia de comentar las principales características y funciones de esta nueva figura del Delegado de Protección de Datos y poder entender mejor, de esta forma, su importancia.

El nuevo Reglamento General de Protección de Datos trata de armonizar la normativa de los diferentes Estados Miembros de la Unión Europea. Del mismo modo, refuerza las garantías en los tratamientos de los datos de carácter personal de las personas físicas aumentando el control sobre los datos, siendo castigadas aquellas infracciones al referido Reglamento con importantes sanciones, por las autoridades de control. Dentro de este refuerzo en el control se ha optado por introducir la figura del Delegado de Protección de Datos. Esta figura viene regulada en la Sección 4, Capítulo IV, en los artículos 37-39 del RGPD y en los artículos 34-37 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Con este Proyecto de Ley se pretende complementar y aclarar aspectos del Reglamento para dar mayor seguridad jurídica. El Proyecto, que a día de hoy se encuentra en tramitación parlamentaria, amplia las funciones del DPD, así como el elenco de entidades que en función de su actividad deben contar con esta figura. Conforme al artículo 37 del RGPD el responsable y el encargado del tratamiento tendrán la obligación de nombrar a un Delegado de Protección de Datos cuando:

- El tratamiento lo lleve a cabo una autoridad u organismo público.

- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.

- Las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Por su parte, el Proyecto de Ley Orgánica extiende estos supuestos de designación del DPD por los responsables y encargados del tratamiento, a 15 casos diferentes de entidades que deben de designar esta figura, entre los que cabe destacar los siguientes:

- Los colegios profesionales y sus consejos generales.

- Los centros docentes de enseñanza.

- Los establecimientos financieros de crédito.

- Las entidades aseguradoras y reaseguradoras.

- Las empresas de servicios de inversión.

- Los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes.

Volviendo a la regulación de la designación del DPD, de acuerdo a las directrices del Reglamento, existen dudas sobre a qué se refiere la norma cuando hace referencia, en los dos últimos casos, al tratamiento de datos “a gran escala”, sin entrar a definir dicho concepto el RGPD. El Comité de Protección de Datos de la Unión Europea, organismo de la Unión Europea responsable de la aplicación del RGPD, ha querido esclarecer su significado indicando que el espíritu del tratamiento de datos a “gran escala” dependerá de muchos factores: el número de personas afectadas, la proporción del conjunto total de afectados, el alcance geográfico de la actividad del tratamiento, la duración del tratamiento de los datos…

El RGPD no establece que el DPD forme parte de la plantilla del responsable o del encargado del tratamiento, sino que podrá ser una persona interna o externa, pudiendo tratarse de una persona física o jurídica. El DPD deberá de ser designado atendiendo a sus cualidades profesionales y a sus conocimientos especializados en Derecho y a la práctica en materia de protección de datos. Una vez se ha nombrado al DPD hay que notificarlo a la Agencia Española de Protección de Datos, publicando los datos del mismo. El RGPD no indica ningún plazo para realizar estas comunicaciones, no obstante, el Proyecto de Ley, que como hemos mencionado anteriormente aún no ha sido aprobado por encontrarse en fase de enmiendas, en su artículo 34.3 establece un plazo de diez días para comunicar su nombramiento a la Agencia Española de Protección de Datos (en adelante AEPD). Según fuentes de la AEPD, hasta ahora, se han realizado alrededor de unas 8.000 notificaciones, de estas comunicaciones, algunas se están realizando por escrito. Aunque se está dando trámite a todas aquellas designaciones que contengan los requisitos mínimos, es preferible que se hagan mediante la página web de la AEPD a través de su sede electrónica, de esta manera se informa con mayor exactitud sobre el DPD y las empresas en las que actúa como tal.

Para ser Delegado de Protección de Datos no es necesario, por el momento, tener ningún título, si bien la AEPD fomenta el sistema de entidades certificadoras de DPD, estas entidades están homologadas para poder impartir cursos especializados en la figura del Delegado de Protección de Datos y dotarles de un título certificador.

Finalmente, las funciones a desempeñar por el Delegado son las reguladas en el artículo 39 RGPD:

- Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben,

- Supervisar el cumplimiento de lo dispuesto en el RGPD.

- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

- Cooperar con la autoridad de control.

- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento y realizar consultas.

Cabe mencionar que el DPD no podrá ser despedido ni sancionado por el responsable o el encargado del tratamiento por el desempeño de sus funciones, teniendo que rendir cuentas el Delegado directamente al más alto nivel jerárquico del responsable o encargado. Los interesados podrán ponerse en contacto con el Delegado para las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos. Así mismo, una misma persona puede ser DPD de varias entidades siempre que sea fácilmente accesible desde cada establecimiento teniendo la obligación de mantener el secreto o confidencialidad en el desempeño de sus funciones y podrá desempeñar otras funciones y cometidos, siempre y cuando no den lugar a conflicto de intereses.

En el Departamento de Derecho Mercantil y  Digital de Belzuz Abogados, S.L.P., como abogados especialistas en protección de datos de carácter personal, consideramos relevante que los responsables o encargados del tratamiento entiendan la necesidad y la obligación del nombramiento del DPD, evitando de esta manera las posibles sanciones que puede imponer el regulador, no solo por no disponer del mismo cuando es preceptivo, sino también por otras infracciones y lagunas que puedan tener lugar en el tratamiento de los datos de carácter personal, al no existir esta figura en la entidad que es especialista en la materia. Como se ha indicado anteriormente, el DPD puede ser externo y en este sentido, en Belzuz Abogados contamos con profesionales plenamente cualificados para el desempeño de las funciones del Delegado de Protección de Datos y, de esta manera, poder ejercer la mencionada figura en los casos que fuese necesaria su designación por el responsable o encargado del tratamiento.

Covadonga Peñas CoveñasCovadonga Peñas Coveñas 

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Negligencias médicas Portugal

+351 968559667

PRIMERA CONSULTA GRATUITA


Asociaciones