La figura del Delegado de Protección de Datos (DPO) regulada en el Reglamento General de Protección de Datos de la UE se ha convertido en clave para adaptarnos a esta normativa.
Por ello, la UE ha publicado una Guía con una serie de directrices que nos ayudan a comprender mejor el papel que desempeñará el DPO en el ámbito de la Protección de Datos.
Designación de un DPO
En la Guía de la UE sobre el Delegado de Protección de Datos se regula específicamente el nombramiento de DPO
Designación obligatoria
El GDPR exige la designación de un DPO en tres casos específicos:
- Cuando el tratamiento se realice por una autoridad u organismo público.
- Si las actividades principales del Responsable consisten en operaciones de tratamiento que requieren un control periódico y sistemático de los datos a gran escala.
- En caso de que las actividades principales del Responsable consistan en procesar a gran escala categorías especiales de datos, datos personales relativos a las condenas penales y delitos.
A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO. A fin de poder demostrar que se han adoptado las medidas pertinentes.
Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.
Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de este individuo o consultor no es un «DPO».
Autoridad u Organismo público
El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.
En tales casos, la designación de un DPO es obligatorio.
Una tarea pública puede ser llevada a cabo no sólo por parte del público, Autoridades u organismos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:
- servicios de transporte
- suministro de energía
- infraestructuras viarias
- servicio público de radiodifusión
- vivienda pública
- profesiones reguladas
En estos casos, los sujetos pueden estar en una situación muy similar a la Autoridad u organismo público. En particular, los datos pueden ser procesados para ciertos fines y los afectados tienen muy poca o ninguna opción sobre cómo se tratarán sus datos. Y requieren la protección adicional que la designación de un DPO puede traer.
Aunque en tales casos no hay obligación, la UE recomienda, como una buena práctica, que:
- Organizaciones privadas que desempeñan funciones públicas o ejercen una autoridad pública designan un DPO.
- Actividad de un DPO debe abarcar también todas las operaciones de tratamiento realizadas, que no estén relacionados con el desempeño de una tarea pública o el ejercicio de funciones oficiales.
Actividades básicas
El RGPD se refiere a las «actividades principales del responsable del tratamiento».
Se especifica que las actividades principales de un responsable del tratamiento se refieren al tratamiento de datos personales como actividades auxiliares. Las «actividades principales» pueden considerarse operaciones clave necesarias para alcanzar los objetivos del controlador o del procesador.
La actividad principal de un hospital es proporcionar atención médica. Sin embargo, un hospital no puede realizar esa actividad efectivamente sin procesar los datos de salud, como los registros de salud de los pacientes. Por lo tanto, el procesamiento de estos datos deben considerarse como una de las actividades básicas de cualquier hospital y los hospitales deben designar un DPO.
Como otro ejemplo, una empresa de seguridad privada lleva a cabo la vigilancia de Centros comerciales y espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está inevitablemente ligada al tratamiento de los datos personales. Por lo tanto, esta empresa también debe designar un DPO.
Por otra parte, todas las organizaciones llevan a cabo ciertas actividades, por ejemplo, el pago de sus actividades estándar de soporte de TI. Estas son funciones de apoyo necesarias para el núcleo de la organización, actividad o negocio principal. Aunque estas actividades son necesarias o esenciales, suelen ser consideradas funciones auxiliares en lugar de la actividad principal.
Datos a gran escala
Otro supuesto en que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR no define lo que constituye gran escala.
De hecho, no es posible dar un número preciso ni con respecto a la cantidad de datos procesados ni el número de personas afectadas. Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades de transformación. La UE también tiene previsto contribuir a este desarrollo, a través de la publicación de ejemplos de los umbrales pertinentes para la designación de un DPO.
En cualquier caso, recomienda que se tengan en cuenta, en particular, los siguientes factores:
- Número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
- Volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
- Duración o permanencia de la actividad de procesamiento de datos.
- Extensión geográfica de la actividad de transformación.
Ejemplos
Ejemplos de procesamiento a gran escala incluyen:
- Procesamiento de datos de pacientes en el curso regular de los negocios por un hospital.
- Tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje).
- Procesamiento de datos geográficos en tiempo real de clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado en la prestación de estos servicios.
- Gestión de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco.
- Procesar datos personales para publicidad conductual mediante un motor de búsqueda.
- Tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet.
Ejemplos que no constituyen tratamiento a gran escala incluyen:
- Procesamiento de datos de pacientes por un médico individual.
- Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.
Monitoreo regular y sistemático
La noción de supervisión regular y sistemática de los datos no está definida en el GDPR.
El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.
La UE interpreta ‘regular‘ como:
- En curso o ocurriendo a intervalos particulares durante un período determinado.
- Recurrentes o repetidos en horarios fijos.
- Constantemente o periódicamente teniendo lugar.
Interpreta que «sistemático» como:
- Ocurren según un sistema.
- Organización previa, organizada o metódica.
- En el marco de un plan general de recogida de datos.
- Realizado como parte de una estrategia.
Ejemplos
- Operar una red de telecomunicaciones;
- Prestación de servicios de telecomunicaciones;
- Elaboración de perfiles y puntuación para fines de evaluación de riesgos;
- Seguimiento, por ejemplo, mediante aplicaciones móviles;
- Programas de lealtad;
- Publicidad conductual;
- Seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles;
- Circuito cerrado de televisión;
- Dispositivos conectados.
Delegado de Protección de Datos del Responsable del tratamiento
Tanto a los responsables como los encargados del tratamiento están obligados a designar un Delegado de Protección de Datos.
Es importante resaltar que incluso si el controlador cumple los criterios de designación obligatoria, el procesador no está necesariamente obligado a nombrar un DPO. Sin embargo, esto puede ser una buena práctica.
Una pequeña empresa familiar dedicada a la distribución de electrodomésticos en una sola ciudad utiliza los servicios de un procesador cuya actividad principal es proporcionar servicios de análisis de sitios web y asistencia con publicidad y marketing dirigidos. Las actividades de la empresa familiar y sus clientes no generan el procesamiento de datos a gran escala.
El número de clientes y las actividades son relativamente limitadas. Sin embargo, las actividades del Encargado, teniendo muchos clientes como esta pequeña empresa, suponen un procesamiento a gran escala. Por consiguiente, éste debe designar un DPO.
Al mismo tiempo, la propia empresa familiar no está obligada a designar un DPO.
Fácilmente accesible desde cada establecimiento
El RGPD permite a un grupo de empresas designar un único DPO siempre que sea «Fácilmente accesible desde cada establecimiento». La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos. Considerando que una de las tareas del DPO es «informar y aconsejar al controlador y al procesador y los empleados que llevan a cabo sus obligaciones conforme a esta regulación».
A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del GDPR.
Él o ella debe estar en una posición para comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.
También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño. Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.
La disponibilidad personal de un RPD es esencial para garantizar que los responsables del tratamiento puedan ponerse en contacto con el DPO. El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas, de conformidad con la legislación de la Unión o de los Estados miembros. Sin embargo, la obligación de secreto / confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.