Nombramiento de Delegados de Protección de Datos

967
obligacion contratar dpo

La figura del Delegado de Protección de Datos (DPO) regulada en el Reglamento General de Protección de Datos de la UE se ha convertido en clave para adaptarnos a esta normativa.

Por ello, la UE ha publicado una Guía con una serie de directrices que nos ayudan a comprender mejor el papel que desempeñará el DPO en el ámbito de la Protección de Datos.

Designación de un DPO

En la Guía de la UE sobre el Delegado de Protección de Datos se regula específicamente el nombramiento de DPO

Designación obligatoria

El artículo 37 del GDPR exige la designación de un DPO en tres casos específicos:

  1. Cuando el tratamiento se realice por una autoridad u organismo público;
  2. Cuando las actividades principales del controlador o del procesador consisten en operaciones de tratamiento que requieren un control periódico y sistemático de los datos a gran escala; o
  3. Cuando las actividades principales del controlador o del procesador consisten en procesar a gran escala categorías especiales de datos, datos personales relativos a las condenas penales y delitos.

En las siguientes subsecciones, la Unión Europea proporciona orientación con respecto a los criterios y la terminología.

A menos que sea obvio que una organización no está obligada a designar un DPO, se recomienda que los controladores y procesadores de datos personales documenten el análisis interno realizado para determinar si necesita un DPO, a fin de poder demostrar que se han adoptado las medidas pertinentes.

Cuando una organización designa un DPO de manera voluntaria, los mismos requisitos establecidos en los artículos 37 a 39 se aplicará a su designación, cargo y tareas como si la designación hubiera sido obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, sin embargo emplee personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Por lo tanto, debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de este individuo o consultor no es un “DPO”.

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional. En consecuencia, las autoridades y organismos públicos nacionales, regionales y locales, pero el concepto, en virtud de las leyes nacionales aplicables, normalmente incluye también una serie de otros organismos de Derecho público.

En tales casos, la designación de un DPO es obligatorio.

Una tarea pública puede ser llevada a cabo y la autoridad pública puede ser ejercida no sólo por parte del público, Autoridades u organismos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como, según la reglamentación nacional de cada Estado miembro, los servicios de transporte, suministro de energía, infraestructuras viarias, servicio público de radiodifusión, vivienda pública o para las profesiones reguladas.

En estos casos, los sujetos pueden estar en una situación muy similar a la Autoridad u organismo público. En particular, los datos pueden ser procesados para ciertos fines y los afectados tienen muy poca o ninguna opción sobre cómo se tratarán sus datos y requieren la protección adicional que la designación de un DPO puede traer.

Aunque en tales casos no hay obligación, la UE recomienda, como una buena práctica, que:

  • las organizaciones privadas que desempeñan funciones públicas o ejercen una autoridad pública designan un DPO
  • la actividad de un DPO debe abarcar también todas las operaciones de tratamiento realizadas, que no estén relacionados con el desempeño de una tarea pública o el ejercicio de funciones oficiales.

Actividades básicas

El artículo 37, apartado 1, letras b) y c), del GDPR se refiere a las «actividades principales del responsable del tratamiento o del procesador».

Se especifica que las actividades principales de un responsable del tratamiento se refieren al tratamiento de datos personales como actividades auxiliares. Las «actividades principales» pueden considerarse operaciones clave necesarias para alcanzar los objetivos del controlador o del procesador.

No obstante, las “actividades principales” no deben interpretarse como excluyendo actividades en las que los datos forman parte necesaria de la actividad del controlador o del procesador.

ejemplos proteccion de datos

La actividad principal de un hospital es proporcionar atención médica. Sin embargo, un hospital no puede realizar esa actividad efectivamente sin procesar los datos de salud, como los registros de salud de los pacientes. Por lo tanto, el procesamiento de estos datos deben considerarse como una de las actividades básicas de cualquier hospital y los hospitales deben designar un DPO.

Como otro ejemplo, una empresa de seguridad privada lleva a cabo la vigilancia de Centros comerciales y espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está inevitablemente ligada al tratamiento de los datos personales. Por lo tanto, esta empresa también debe designar un DPO.

Por otra parte, todas las organizaciones llevan a cabo ciertas actividades, por ejemplo, el pago de sus actividades estándar de soporte de TI. Estas son funciones de apoyo necesarias para el núcleo de la organización, actividad o negocio principal. Aunque estas actividades son necesarias o esenciales, suelen ser consideradas funciones auxiliares en lugar de la actividad principal.

Datos a gran escala

El artículo 37, apartado 1, letras b) y c), exige que el tratamiento de datos personales se realice a gran escala para que se desencadene la designación de un DPO. El GDPR no define lo que constituye gran escala.

De hecho, no es posible dar un número preciso ni con respecto a la cantidad de datos procesados ni el número de personas afectadas, que sería aplicable en todas las situaciones. Esto no excluye la posibilidad, sin embargo, de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades de transformación. La UE también tiene previsto contribuir a este desarrollo, a través de la publicación de ejemplos de los umbrales pertinentes para la designación de un DPO.

En cualquier caso, recomienda que se tengan en cuenta, en particular, los siguientes factores:

  • El número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
  • El volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de transformación

Ejemplos de procesamiento a gran escala incluyen:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje)
  • procesamiento de datos geográficos en tiempo real de clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado en la prestación de estos servicios
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

Ejemplos que no constituyen tratamiento a gran escala incluyen:

  • procesamiento de datos de pacientes por un médico individual
  • tratamiento de datos personales relativos a condenas penales y delitos cometidos por un individuo abogado.

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos no está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta ‘regular’ como:

  • En curso o ocurriendo a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente teniendo lugar

Interpreta que “sistemático” significa que:

  • Ocurren según un sistema
  • Organización previa, organizada o metódica
  • En el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia

Ejemplos: operar una red de telecomunicaciones; Prestación de servicios de telecomunicaciones; correo electrónico; Elaboración de perfiles y puntuación para fines de evaluación de riesgos; Seguimiento, por ejemplo, mediante aplicaciones móviles; programas de lealtad; Publicidad conductual; Seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles; circuito cerrado de televisión; Dispositivos conectados.

DPO del Responsable del tratamiento

El artículo 37 se aplica tanto a los controladores como a los procesadores con respecto a la designación de un Delegado de Protección de Datos.

Dependiendo de quién cumpla los criterios de designación obligatoria, en algunos casos sólo el procesador, en otros casos tanto el controlador y su procesador están obligados a designar un DPO.

Es importante resaltar que incluso si el controlador cumple los criterios de designación obligatoria, el procesador no está necesariamente obligado a nombrar un DPO. Sin embargo, esto puede ser una buena práctica.

 

ejemplos proteccion de datos

Una pequeña empresa familiar dedicada a la distribución de electrodomésticos en una sola ciudad utiliza los servicios de un procesador cuya actividad principal es proporcionar servicios de análisis de sitios web y asistencia con publicidad y marketing dirigidos. Las actividades de la empresa familiar y sus clientes no generan el procesamiento de datos a gran escala.

El número de clientes y las actividades son relativamente limitadas. Sin embargo, las actividades del Procesador, teniendo muchos clientes como esta pequeña empresa, tomados en conjunto, suponen un procesamiento a gran escala. Por consiguiente, el transformador debe designar un DPO con arreglo al artículo 37, apartado 1, letra b).

Al mismo tiempo, la propia empresa familiar no está obligada a designar un DPO.

Fácilmente accesible desde cada establecimiento

El apartado 2 del artículo 37 permite a un grupo de empresas designar un único DPO siempre que sea “Fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos, considerando que una de las tareas del DPO es “informar y aconsejar al controlador y al procesador y los empleados que llevan a cabo sus obligaciones conforme a esta regulación”.

A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del GDPR.

Él o ella debe estar en una posición para comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.

De conformidad con el artículo 37, apartado 3, puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño. Dado que el RPD es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.

La disponibilidad personal de un RPD es esencial para garantizar que los responsables del tratamiento puedan ponerse en contacto con el DPO. El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas, de conformidad con la legislación de la Unión o de los Estados miembros (artículo 38, apartado 5). Sin embargo, la obligación de secreto / confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Nombramiento de Delegados de Protección de Datos
4.67 (93.33%) 6 votos

Dejar respuesta