DELEGADO DE PROTECCIÓN DE DATOS


El nuevo Reglamento Europeo de Protección de Datos trae importantes novedades y cambios en relación con la privacidad y las obligaciones que deberán cumplirse a la hora de manejar datos de carácter personal. Y aunque entró en vigor el pasado mes de mayo, la aplicación de este reglamento no se producirá hasta dentro de dos años, es decir, mayo del año 2018. Aunque conviene comentar alguna de las novedosas obligaciones, como es el caso del nombramiento del Delegado de Protección de Datos, conocido también como Data Protection Officer (DPO).

Si la actual normativa sobre protección de datos exige el nombramiento de un responsable de seguridad, cuando las medidas de seguridad a implementar a los datos personales son las del nivel medio y alto, teniendo este responsable de seguridad como principal cometido la supervisión de las medidas de seguridad técnicas y organizativas, esta nueva figura del Delegado de Protección de Datos abarcará un mayor ámbito, tanto por su perfil como por las funciones que le atribuye el nuevo reglamento europeo de protección de datos personales.

En cuanto a estas funciones que deberá desempañar el DPO, se incluye la de informar y asesorar sobre las obligaciones que el responsable del fichero, el encargado del tratamiento y los empleados de ambos, deben cumplir a la hora de manejar los datos de carácter personal. También deberá desempeñar una labor de supervisión y control del cumplimiento de cualquier normativa en relación con la privacidad de los datos. Labor esta de supervisión y control que obligará a conocer todos los procedimientos internos de la empresa a la hora de manejar los datos personales, a la vez que asignar responsabilidades a los personas que operan con los datos, a parte de concienciarles y formales. Tendrá también que intervenir el DPO en las evaluaciones de impacto y en las auditorias que se realicen. Dejando muy claro el reglamento europeo que la labor de los delegados debe realizarse con total independencia, obligando a la empresa a prestarle todo los recursos necesarios para desempeñar su trabajo y teniendo únicamente el delegado que reportar sus conclusiones de aquello que detecte a la dirección de la empresa, guardando siempre el secreto y la confidencialidad de todo lo que conozca.

Aparte de estas funciones del delegado de protección de datos de carácter interno en la empresa, también se le asignan otras funciones externa, dado que deberá ser el contacto entre la empresa y la Autoridad de Control o Agencia de Protección de Datos, siendo él quien planteé a este organismo las dudas que surjan a la hora de cumplir con la privacidad. También tendrá que estar el delegado a disposición de las afectados o interesados, es decir, las personas cuyos datos se recaban y manejan por la empresa. Para ello, se deberán incluir los datos de contacto del delegado en las leyendas, cláusulas y políticas que se elaboren en la empresa para informar del tratamiento de sus datos personales.

Pero no todas las empresas deberán nombrar a un DPO por el mero hecho de manejar datos de carácter personal, al no ser una obligación generalizada para todos las empresas. Unicamente estarán obligados a nombrar a un delegado de protección de datos los organismos públicos, aquellas empresas que manejen datos, de cierta naturaleza y para ciertos fines, de una gran cantidad de personas y aquellas otras empresas que utilicen un gran número de datos de los denominados especialmente protegidos, es decir, los de origen racial, políticos, religiosos, afiliación sindical, y los relativos a la salud, vida sexual, genéticos o biométricos. No dejando claro el reglamento ciertas situaciones en las que la empresa estará o no obligada a nombrar a un delegado de protección de datos.

Lo que si deja más claro el reglamento europeo es la calificación de las personas que podrán desempeñar las labores de delegado, permitiendo que sea un trabajador de la propia empresa, o alguien externo que realice estas labores en virtud de un contrato de servicios. Sin ser incompatible esta condición de delegado con otras funciones que pueda desempeñar cuando no entren en conflicto con la privacidad de los datos. Y en cuanto a la perfil del delegado, el reglamento europeo establece que deberá tener conocimientos en derecho y práctica en las funciones que debe desempeñar.

Por tanto, si la figura del responsable de seguridad del actual reglamento de desarrollo de la LOPD, entienden las empresas que es de un perfil técnico por estar vinculado a las medidas de seguridad, aunque muchas de estas medidas que se exigen no son técnicas. El delegado de protección de datos, tiene un marcado perfil jurídico, aunque también debería contar con conocimientos técnicos, dado que muchas de las acciones llevadas a cabo con los datos personales se realizan a través de dispositivos o sistemas informáticos, cuyo conocimiento será imprescindible para poder cumplir con todas las funciones que le asigna el nuevo reglamento europeo de protección de datos.

Pero algo que no menciona el reglamento europeo es la responsabilidad del delegado, porque si la normativa actual de protección de datos, respecto a la figura del responsable de seguridad, deja clara su no responsabilidad en cuanto al cumplimiento de las obligaciones de privacidad, trasladando ésta a la empresa que es la responsable de los datos que se manejan. El reglamento europeo no dice nada sobre cual es el grado de responsabilidad del delegado en relación con las decisiones y acciones que lleve a cabo al desempeñar su trabajo.

 

Gonzalo M.Flechoso
Abogado-CISA