El Grupo de Trabajo del Artículo 29 ha publicado el pasado diciembre varias directrices relativas a distintas novedades que presenta el nuevo Reglamento General de Protección de Datos. Entre estas novedades, una de las que más interrogantes ha planteado es la figura del Delegado de Protección de Datos (DPO).
En este artículo queremos hacernos eco del documento de preguntas y respuestas que el Grupo de Trabajo ha elaborado con el objetivo de arrojar luz sobre esta figura fundamental del nuevo reglamento. Para ello recogemos cada una de las preguntas y resumimos las respuestas que proporcionan las autoridades europeas.
1. ¿Qué organizaciones necesitan nombrar a un DPO?
Existen tres casos en los que será necesario que una organización nombre un DPO:
- Cuando se trata de un organismo o autoridad pública.
- Cuando las actividades clave de la organización consistan en operaciones de procesado que requieran la monitorización regular y sistemática de sujetos a gran escala
- Cuando las actividades clave de la organización consistan en el procesado a gran escala de datos personales de categorías especiales o datos personales relativos a causas penales y delitos.
El Grupo de Trabajo del Artículo 29 especifica que los países miembros pueden requerir el nombramiento de un DPO en otros casos de acuerdo con sus leyes específicas. Además subraya el potencial beneficio de un nombramiento voluntario de DPO para empresas aunque no estén obligadas.
2. ¿Qué se entiende por «actividades clave»?
Las actividades principales son las acciones llevadas a cabo por la organización que son clave para la consecución de sus objetivos. El documento pone a los hospitales como ejemplo de organizaciones que tendrán que nombrar un DPO ya que el procesado de datos de salud es un elemento clave para su funcionamiento.
Como ejemplo de actividad no principal pero que conlleva el procesado de datos personales, el documento menciona el pago de nóminas a empleados.
3. ¿Qué se entiende por «gran escala»?
El Reglamento General de Protección de Datos no especifica en qué consiste el concepto de gran escala y el documento se limita a citar las condiciones de las que dependerá :
- Del número de sujetos.
- Del volumen de datos.
- De la duración o persistencia de la actividad de procesado.
- De la extensión geográfica de la actividad de procesado.
Ejemplos de procesado a gran escala:
- Datos de pacientes en un hospital.
- Datos de viajeros en una red local de transporte.
- Datos de geolocalización de clientes de una cadena internacional de tiendas.
Ejemplos de lo que NO es procesado a gran escala:
- Procesado de datos de paciente por parte de un médico individual.
- Procesado de datos relativos a una condena penal por parte de un abogado individual.
4. ¿Que significa «monitorización regular y sistemática»?
Este concepto, que tampoco se define en el RGPD, incluye todas las formas de rastreo y creación de perfiles que se realizan a través de Internet y en concreto se menciona la publicidad basada en conducta que llevan a cabo los motores de búsqueda y otras plataformas publicitarias digitales. Sin embargo también cita otros ejemplos que no tienen que ver con Internet como por ejemplo: operar una red de telecomunicaciones, empresas que crean perfiles de riesgo (crediticio, aseguradoras, prevención de fraude…), geolocalización…
Lo que todas estas actividades tienen en común es que se realizan de modo regular y metódica, como parte de un sistema.
5. ¿Pueden varias organizaciones nombrar un DPO de manera conjunta? ¿Bajo qué condiciones?
El RGPD contempla la posibilidad de que el nombramiento de DPO lo lleve a cabo un grupo de organizaciones con la condición de que esté disponible fácilmente para todas las partes interesadas que incluyen individuos a los que pertenecen los datos, autoridades y las propias organizaciones. El DPO debe además poder atender a las partes en su propio idioma.
6. ¿Se puede nombrar un DPO externo?
Sí, el DPO puede ser externo a la organización para la que ejerce y estar sujeto a un contrato de servicio con la misma. Un aspecto a tener en cuenta es que cuando la figura del DPO la represente una entidad externa, sus labores las pueden llevar a cabo un grupo de individuos aunque debe constar siempre una persona de contacto a cargo del equipo que asumirá la responsabilidad.
7. ¿Qué preparación debe tener un DPO?
El nivel de preparación del DPO debe de ir acorde a la complejidad y especificidad de las actividades de cada organización.
Los conocimientos del DPO en cualquier caso deben incluir los siguientes puntos:
- Conocimiento de las leyes de protección de datos tanto nacionales como europeas especialmente el RGPD.
- Comprensión de las operaciones de procesado de datos que se lleven a cabo.
- Dominio de las tecnologías de la información y la seguridad de datos
- Conocimiento del sector y de la propia organización.
- Capacidad para promover una cultura de protección de datos dentro de la organización.
8. ¿De qué recursos se debe dotar al DPO para llevar a cabo su actividad?
- Apoyo por parte de la dirección.
- Margen temporal suficiente para llevar a cabo sus obligaciones.
- Apoyo en forma de recursos financieros, infraestructura (oficina, equipamiento) y personal si es necesario.
- Comunicación oficial del nombramiento a todo el personal.
- Acceso a otros servicios dentro de la compañía de modo que pueda recibir apoyo e información de estos otros servicios.
- Formación continua.
9. ¿Cómo se asegura la independencia del DPO?
La garantía de independencia del DPO se basa en una serie de salvaguardias:
- No debe recibir instrucciones por parte de las organizaciones sobre cómo llevar a cabo sus tareas.
- La organización no lo puede penalizar o despedir dependiendo del rendimiento de sus tareas como DPO.
- No debe haber conflicto de intereses con otras tareas u obligaciones.
10. ¿Qué otras tareas u obligaciones pueden suponer un conflicto de intereses?
El DPO no puede ocupar un puesto dentro de la organización que implique determinar los propósitos y medidas de procesado de datos. Esto incluye por ejemplo alta dirección y otros que tengan un poder decisorio sobre el procesado de datos.
11. ¿Qué implica la noción de «monitorizar el cumplimiento»?
Como parte de las obligaciones de monitorizar el cumplimiento el DPO debe:
- Recoger información que identifique actividades de procesado de datos.
- Analizar que estas actividades de procesado de datos cumplan con la legislación.
- Informar, aconsejar y emitir recomendaciones para la organización.
12. ¿Es el DPO personalmente responsable del incumplimiento del RGPD?
No, los DPO no son personalmente responsables del incumplimiento del RGPD sino que lo es la propia organización.
13. ¿Cuál es el papel del DPO en lo que respecta al informe de impacto de protección de datos y el registro de actividades de procesado?
El responsable de tratamiento debe consultar con el DPO sobre la necesidad o no de llevar a cabo un informe de impacto de protección de datos, la metodología a seguir, si debe llevarse a cabo de manera interna o externalizarlo. Una vez completado debe determinar si ha sido llevado a cabo correctamente y si es necesario aplicar sus conclusiones.
Enlaces relacionados:
DPO Frequently Asked Questions (Article 29 Data Protection Working Party)
