La aprobación reciente del Reglamento General de Protección de Datos (RGPD) establece en su artículo 37 la obligatoriedad de designar por parte del responsable y/o encargado del tratamiento de datos personales de un Delegado de Protección de Datos (más conocido como «Data Protection Officer» o, por sus siglas en inglés, DPO). Sin embargo, la persona que ocupe este cargo deberá estar cualificada para ello, esto es, deberá tener conocimientos en Derecho y ser experto en la Legislación que regula la protección de datos de carácter personal (así lo exige el apartado 5º del artículo 37). Del mismo modo, es conveniente saber que este experto en la materia de protección de datos puede pasar bien a formar parte de la plantilla del responsable y/o encargado del tratamiento de datos personales o bien a ser contratado de forma externa por dicho organismo (póngase, en este sentido, el artículo 37.6 del RGPD en relación con la reducción de gastos que eso comporta).

Pero, ¿quién tiene la obligación de designar un DPO?

En este sentido, establece el artículo 37.1 del RGPD que «el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o;

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

En otras palabras, tendrán la obligación de designar un Delegado de Protección de Datos:

  • Todas las Administraciones Públicas (excepto Tribunales en ejercicio de su función judicial);
  • Aquellas empresas que traten datos de «forma masiva»: o sea, serían aquellas empresas que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala. En este sentido, el Grupo de Trabajo 29 de la AEPD entiende por «tratamiento a gran escala», entre otros, el tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet; el tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda; el tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad; el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios; o el tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco.
  • Y aquellas empresas que traten datos especialmente sensibles a gran escala: entre otros, los datos relativos a la afiliación sindical, los datos genéticos, los datos biométricos o los datos relativos a la salud.

Por todo ello y dado que nos encontramos ante un mercado globalizado y profundamente vinculado a Internet, prácticamente cualquier empresa tratará datos personales de forma «masiva», por lo que tendrá que contar con un Delegado de Protección de Datos. A modo de ejemplo, el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal en sus artículos 35 y 37 establece que tendrán la obligación de designar un DPO:

  • Los Colegios Profesionales y sus Consejos Generales;
  • Los Centros docentes;
  • Los centros sanitarios;
  • Las Entidades que exploten Redes y presten Servicios de Comunicaciones Electrónicas;
  • Los Prestadores de Servicios de la Sociedad de la Información: esto es, los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda y cualquier sujeto que disponga de un sitio en Internet;
  • Las entidades de crédito;
  • Las entidades aseguradoras y reaseguradoras;
  • Las empresas de servicios de inversión;
  • Los distribuidores y comercializadores de energía eléctrica y de gas natural;
  • Las entidades que desarrollen actividades de publicidad y prospección comercial;
  • Los operadores que desarrollen la actividad de juego.

¿Cuáles serían las funciones de este Delegado de Protección de Datos?

Las funciones mínimas (recogidas en el artículo 38 del RGPD) del Delegado de Protección de Datos (DPO) serán:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿A partir de qué fecha es recomendable haber designado el DPO?

En virtud del artículo 99 del RGPD, será aplicable el mismo a partir del 25 de mayo de 2018, esto es, será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

¿Se prevén sanciones en el caso de que no se produzca la designación?

Incumplir las obligaciones de protección de datos suele llevar a cuantías multas y fuertes sanciones. En este sentido, el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal considera como infracción grave el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento General de Protección de Datos (vid. Artículo 73 letra t).

De la misma forma, prevé el RGPD que el incumplimiento de las obligaciones del responsable y del encargado, entre otras, la designar DPO, se sancionarán de acuerdo con el apartado 2, con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

Por José Sánchez Hernández. Abogado especialista en Derecho Informático.

 

Sigue nuestra actividad en: