Ayuda Ley Protección Datos

Nombramiento de Delegados de Protección de Datos

La figura del Delegado de Protección de Datos (DPO) regulada en el Reglamento General de Protección de Datos de la UE se ha convertido en clave para adaptarnos a esta normativa.

Por ello, la UE ha publicado una Guía con una serie de directrices que nos ayudan a comprender mejor el papel que desempeñará el DPO en el ámbito de la Protección de Datos.

Designación de un DPO

En la Guía de la UE sobre el Delegado de Protección de Datos se regula específicamente el nombramiento de DPO

Designación obligatoria

El GDPR exige la designación de un DPO en tres casos específicos:

  1. Cuando el tratamiento se realice por una autoridad u organismo público.
  2. Si las actividades principales del Responsable consisten en operaciones de tratamiento que requieren un control periódico y sistemático de los datos a gran escala.
  3. En caso de que las actividades principales del Responsable consistan en procesar a gran escala categorías especiales de datos, datos personales relativos a las condenas penales y delitos.

A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO. A fin de poder demostrar que se han adoptado las medidas pertinentes.

Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de este individuo o consultor no es un «DPO».

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.

En tales casos, la designación de un DPO es obligatorio.

Una tarea pública puede ser llevada a cabo no sólo por parte del público, Autoridades u organismos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:

En estos casos, los sujetos pueden estar en una situación muy similar a la Autoridad u organismo público. En particular, los datos pueden ser procesados para ciertos fines y los afectados tienen muy poca o ninguna opción sobre cómo se tratarán sus datos. Y requieren la protección adicional que la designación de un DPO puede traer.

Aunque en tales casos no hay obligación, la UE recomienda, como una buena práctica, que:

Actividades básicas

El RGPD se refiere a las «actividades principales del responsable del tratamiento».

Se especifica que las actividades principales de un responsable del tratamiento se refieren al tratamiento de datos personales como actividades auxiliares. Las «actividades principales» pueden considerarse operaciones clave necesarias para alcanzar los objetivos del controlador o del procesador.

La actividad principal de un hospital es proporcionar atención médica. Sin embargo, un hospital no puede realizar esa actividad efectivamente sin procesar los datos de salud, como los registros de salud de los pacientes. Por lo tanto, el procesamiento de estos datos deben considerarse como una de las actividades básicas de cualquier hospital y los hospitales deben designar un DPO.

Como otro ejemplo, una empresa de seguridad privada lleva a cabo la vigilancia de Centros comerciales y espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está inevitablemente ligada al tratamiento de los datos personales. Por lo tanto, esta empresa también debe designar un DPO.

Por otra parte, todas las organizaciones llevan a cabo ciertas actividades, por ejemplo, el pago de sus actividades estándar de soporte de TI. Estas son funciones de apoyo necesarias para el núcleo de la organización, actividad o negocio principal. Aunque estas actividades son necesarias o esenciales, suelen ser consideradas funciones auxiliares en lugar de la actividad principal.

Datos a gran escala

Otro supuesto en que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR no define lo que constituye gran escala.

De hecho, no es posible dar un número preciso ni con respecto a la cantidad de datos procesados ni el número de personas afectadas. Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades de transformación. La UE también tiene previsto contribuir a este desarrollo, a través de la publicación de ejemplos de los umbrales pertinentes para la designación de un DPO.

En cualquier caso, recomienda que se tengan en cuenta, en particular, los siguientes factores:

Ejemplos

Ejemplos de procesamiento a gran escala incluyen:

Ejemplos que no constituyen tratamiento a gran escala incluyen:

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos no está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta ‘regular‘ como:

Interpreta que «sistemático» como:

Ejemplos

Delegado de Protección de Datos del Responsable del tratamiento

Tanto a los responsables como los encargados del tratamiento están obligados a designar un Delegado de Protección de Datos.

Es importante resaltar que incluso si el controlador cumple los criterios de designación obligatoria, el procesador no está necesariamente obligado a nombrar un DPO. Sin embargo, esto puede ser una buena práctica.

Una pequeña empresa familiar dedicada a la distribución de electrodomésticos en una sola ciudad utiliza los servicios de un procesador cuya actividad principal es proporcionar servicios de análisis de sitios web y asistencia con publicidad y marketing dirigidos. Las actividades de la empresa familiar y sus clientes no generan el procesamiento de datos a gran escala.

El número de clientes y las actividades son relativamente limitadas. Sin embargo, las actividades del Encargado, teniendo muchos clientes como esta pequeña empresa, suponen un procesamiento a gran escala. Por consiguiente, éste debe designar un DPO.

Al mismo tiempo, la propia empresa familiar no está obligada a designar un DPO.

Fácilmente accesible desde cada establecimiento

El RGPD permite a un grupo de empresas designar un único DPO siempre que sea «Fácilmente accesible desde cada establecimiento». La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos. Considerando que una de las tareas del DPO es «informar y aconsejar al controlador y al procesador y los empleados que llevan a cabo sus obligaciones conforme a esta regulación».

A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del GDPR.

Él o ella debe estar en una posición para comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.

También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño. Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.

La disponibilidad personal de un RPD es esencial para garantizar que los responsables del tratamiento puedan ponerse en contacto con el DPO. El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas, de conformidad con la legislación de la Unión o de los Estados miembros. Sin embargo, la obligación de secreto / confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos