El delegado de protección de datos (DPO) en el Reglamento UE

El pasado jueves el Parlamento Europeo, después de una larga tramitación iniciada en 2012 con la designación del responsable de la ponencia, aprobó el nuevo Reglamento general sobre la protección de datos a nivel europeo. Este reglamento, sobre el que ya se han escrito abundantes comentarios, será de común aplicación a los Estados miembros de la Unión Europea que, pasados 20 días de su publicación en el DOUE, deben adaptar sus normativas internas en el plazo de 2 años. La UE unifica la legislación dispersa en la materia y, sobre todo, modifica su obsoleta regulación del año 95 a la evolución de las nuevas tecnologías y su influencia en la protección de datos personales.

Existen gran cantidad de documentos que resumen las principales novedades de esta norma, mayor transparencia, el derecho al olvido…pero en este post se aborda la figura del Delegado de Protección de Datos, más conocido por sus siglas en inglés DPO. Su regulación ya se contenía, aunque sin apenas desarrollo, en la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que en su artículo 18 apartado segundo decía: «Los Estados miembros podrán disponer la simplificación o la omisión de la notificación solo en los siguientes casos y con las siguientes condiciones : (…)

• Cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:
  • hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
  • llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados».

Esta es, por tanto, la figura que ahora este nuevo reglamento reconoce  a la vista de que las notificaciones no han conseguido la eficacia perseguida en muchas ocasiones.

Se debe distinguir dos figuras por un lado el responsable del tratamiento de datos, que en el nuevo reglamento pierde parte de sus funciones, y por otro este delegado. Tal y como señala la norma de la UE, se trata de un profesional con conocimientos  específicos en la legislación y con práctica en su aplicación, puede ser personal propio de la corporación en la que va desarrollar sus funciones o bien estar vinculado con un contrato de servicios pero siempre debe actuar con independencia y, si realiza otras tareas, estas deben ser compatibles con las propias de la protección de datos.

De acuerdo a este reglamento, el responsable del tratamiento de datos debe recibir apoyo de un delegado cuando se trate de: organizaciones e instituciones públicas, empresas de más de 250 trabajadores o por debajo de este número pero operen con datos especialmente protegidos que precisan un seguimiento periódico y sistemático, por ejemplo sobre salud, orientación sexual, afiliaciones sindicales… En el caso de las organizaciones públicas cuando existan varias con dependencia entre ellas pueden tener un único delegado para todas.

Las labores del delegado, independiente y que deben contar con la plena colaboración del responsable de protección de datos de la empresa, son las de información, asesoramiento, control y supervisión de las políticas, procedimientos y documentación sobre protección de datos que existan en las diferentes corporaciones en las que actúan. Supervisa el cumplimiento normativo, evalúa el impacto de la protección de datos en la empresa y valora la eficacia de los procedimientos. Además, actúa como contacto con la autoridad de control.

La evaluación de impacto, Privacy Impact Assessments (PIA en inglés), no tiene carácter obligatorio en nuestro país pero nuestra Agencia Española de Protección de Datos publicó una Guía para la Evalución de Impacto en la Protección de Datos Personal «con el objeto de promover una cultura proactiva de la privacidad, proporcionando un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez, contribuya a fortalecer la protección eficaz de los derechos de las personas». En esta guía se indicaba que no había reglas sobre quien debería participar en la elaboración de la evalución pero, continuaba diciendo que: «en cualquier caso, sí se pueden ofrecer unas directrices sobre quiénes no podrían faltar en el mismo: un representante –con capacidad de decisión– del proyecto sometido a evaluación, el delegado de protección de datos o la persona que ejerza esta responsabilidad (o el asesor externo al que se le haya confiado esta misión), el responsable de seguridad y representantes cualificados del departamento TIC y de las áreas de negocio o departamentos a los que más afecte el proyecto dentro de la organización».

Si bien en nuestro país ya existían menciones y reconocimientos a esta figura, será ahora, con las concreciones y requisitos que dicte la Comisión Europea, cuando su presencia sea obligatoria y se le dote de un mayor contenido. Tendremos que esperar a conocer los perfiles profesionales que podrán dedicarse a esta profesión, que a priori será jurídica. Pero también irán surgiendo dudas, como la posible compatibilidad entre la figura del compliance officer -que tras la última reforma del Código Penal se está vinculando fundamentalmente a la prevención de delitos en las empresas- con el DPO.