Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

La nueva figura del DPO (Data Protection Officer): Oportunidad profesional para los abogados

Jesús Martinell
Abogado Ribas y Asociados.

El pasado 4 de mayo se publicó en el Diario Oficial Unión Europea, el esperado Reglamento 2016/679 relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de esos datos. Este nuevo Reglamento deroga la Directiva 95/46/CE aplicable en todos los Estados Miembros a partir del 25 de mayo  de 2018.

A pesar de que el Reglamento será aplicable a partir de mayo de 2018, las empresas deben, de manera progresiva, empezar a implementar determinadas medidas. En este sentido la Agencia Española de Protección de Datos (AEPD) ya se ha pronunciado. Una de ellas es la obligatoriedad (si interpretamos el sentido literal del texto al decir “deberán”) de que el responsable y encargado del tratamiento en la empresa designe al DPO siempre que: (i) el tratamiento lo lleve a cabo una autoridad u organismo público, (ii) que la empresa haga tratamientos que por su naturaleza, alcance y/o fines requieran de una observación habitual y sistemática de interesados a gran escala o (iii) que se lleve a cabo tratamientos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.

El nuevo Reglamento afecta, principalmente, a los responsables y encargados del tratamiento ya que deberán adaptar la nueva normativa al tratamiento de datos que lleven a cabo en la empresa. De algún modo, los responsables y encargados deberán hacer un esfuerzo considerable para, paulatinamente, ir adaptando todos los tratamientos de datos existentes en la empresa, así como los futuros, a las exigencias de la nueva normativa.

Asimismo, los interesados o titulares de derechos, con el nuevo Reglamento, disponen de un abanico más amplio de Derechos (p.e. derecho a la portabilidad, derecho al olvido o supresión, derecho a la limitación de los datos, derecho a presentar una denuncia ante la Autoridad de Control etc.).

En el caso de los abogados, es una oportunidad para especializarse en una nueva figura que nos introduce el Reglamento: el Data Protection Officer (DPO). Todas las novedades, que iremos tratando a lo largo de estos meses a través de diferentes artículos, ofrecen la oportunidad perfecta para el abogado que tenga interés en la empresa, y más concretamente,  en la implantación de modelos dónde, el cumplimiento normativo, el principio de responsabilidad y la prevención tengan un papel predominante en detenimiento de un modelo estrictamente sancionador y más reactivo que proactivo.

La nueva figura del DPO comparte sinergias con el Compliance Officer. Ya que, a ambos, se les exige la necesidad de acreditar el cumplimiento a través de las políticas y medidas que se adopten. El legislador europeo sigue apostando por modelos en los que la empresa lleve la iniciativa. Modelos de “Privacy by design” y “by default” en el que será fundamental que cualquier decisión que se lleve a cabo por el DPO y/o cualquier otra figura con responsabilidad en la empresa, estén razonadas o argumentadas y debidamente acreditadas.

Asimismo, debemos tener en cuenta que el perfil de DPO debe tener un talante proactivo en sus funciones. El legislador, huye, cada vez más, de posturas o criterios más pasivos en cuanto que debíamos esperar a que nos vinieran a mirar cómo teníamos la casa. Con el cambio de criterio, debe ser la empresa misma quién tome la iniciativa y, en consecuencia, será crucial el perfil de DPO que escoja.

El DPO deberá tener unas skills comunicativas sólidas ya que, dentro de sus funciones, tendrá que mantener una comunicación fluida y constante con los múltiples interlocutores que aparecen en el nuevo Reglamento. En primer lugar, los responsables y encargados del tratamiento de la empresa, las Autoridades de Control (ante p.e. una consulta previa, violación de seguridad de los datos o una evaluación de impacto.

Por otro lado, si en la empresa en la que estamos es internacional y dispone de filiales por Europa, será importante que la figura que escojamos tenga habilidades para comunicarse en inglés u otros idiomas así como también, una visión amplia y clara sobre los diferentes tratamientos que contengan datos personales que puedan tratarse en tales países y que, en España, quizás no abunden tanto.

Por otro lado, en un contexto global, el DPO deberá ser consciente de que los datos van circulando de un país a otro constantemente. Ello le exige un conocimiento exhaustivo de la normativa europea y local para así poder interaccionar con las múltiples normativas. Así pues deberá ser capaz de saber compaginar nuevos acuerdos, como p.e., el Privacy Shield (que sustituye al antiguo Safe Harbor entre USA y Europa) con el Reglamento Europeo de Protección de Datos y la propia normativa local.

En el seno de un grupo de empresas podrá designarse un único DPO siempre que sea fácilmente accesible desde cada filial y, en el caso de las autoridades u organismos públicos, también podrán designarse un DPO para más de una teniendo en cuenta la estructura y tamaño de la misma.

El nuevo DPO tiene un protagonismo destacable en el futuro de la Protección de Datos siendo una oportunidad para aquellos que les interesa ésta área del Derecho. La empresa, para la designación del mismo, podrá optar por alguien de la cantera o buscar un perfil externo. De todos modos, ambos perfiles, deberán ser designados atendiendo a sus cualidades profesionales, concretamente, sus conocimientos en Derecho y en la práctica de la materia de protección de datos. Asimismo, el perfil escogido, también deberá tener capacidad para desarrollar las funciones y habilidades comentadas anteriormente. Cabe recordar que la empresa deberá respetar al DPO para que desarrolle su cargo con absoluta independencia y con obligación de secreto y confidencialidad.

No siempre, como abogados, se nos presenta una oportunidad como esta para reenfocar o potenciar nuestra carrera profesional. Para el que quiera empezar en este campo, o para el que quiera seguir formándose en el mismo, puede especializarse en la materia a través de un curso de DPO y con ello optar al puesto de DPO en cualquier empresa que solicite el cargo.

En el nuevo curso de DPO de Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo. Puedes ver el programa en este enlace:

http://www.tienda.aranzadi.es/productos/formaciones/curso-data-protection-officer/8748/4294967105

 

Nuevo curso de DPO – Data Privacy Officer

Ya está disponible en http://www.tienda.aranzadi.es/productos/formaciones/curso-data-proteccion-officer/8748/4294967105 la posibilidad de reservar plaza en el nuevo curso de DPO (Delegado de Protección Datos) ofrecido por Thomson Reuters Aranzadi con nuestra colaboración.