Competencias del futuro Delegado en Protección de Datos

eu_parlamento

Por Francisco R. González-Calero Manzanares

La Propuesta de Reglamento General de Protección de Datos, actualmente en fase legislativa mediante procedimiento de Codecisión, aparte de intentar mejorar las carencias de la vigente Directiva 95/46 CE, provoca un cambio radical en el sistema de protección de datos de carácter personal, ya que pasaremos de una Directiva y 27 legislaciones nacionales, a un único marco legislativo de referencia en esta materia. Entre sus novedades, crea una figura ya existente en la normativa alemana, el Delegado en Protección de Datos o DPO (Data Protection Officer).

Sobre sus funciones, aunque habrá que esperar a ver como se aprueba el texto final, podemos adelantar por “donde pueden ir los tiros”.

En primer lugar, esta figura se prevé obligatoria para todas las Administraciones Públicas independientemente de su tamaño, para las empresas privadas de más de 250 trabajadores o cuando  las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.

El perfil profesional del DPO, a parte de los actos delegados que la Comisión Europea pueda dictar “a fin de especificar los criterios y requisitos aplicables a las actividades principales del responsable o del encargado del tratamiento contempladas en el apartado 1, letra c), así como los criterios aplicables a las cualidades profesionales del delegado de protección de datos contempladas en el apartado 5” y “a fin de especificar los criterios y requisitos aplicables a las tareas, la certificación, el estatuto, las competencias y los recursos del delegado de protección de datos contemplados en el apartado 1”, deberá responder a “cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento”.  Cabe decir que aunque sólo se mencionan conocimientos en legislación sobre protección de datos, el DPO deberá igualmente tener conocimientos, al ser áreas interrelacionadas, sobre Seguridad Informática, Esquema Nacional de Seguridad y Seguridad de la Información, para el buen cumplimiento de las funciones legalmente atribuidas y otras que de facto, “le puedan caer”.

Para salvaguardar su independencia, se establecen una serie de obligaciones para los Responsables y Encargados de Tratamiento, tales como dotarle de medios materiales y humanos suficientes, que su mandato pueda ser bajo la figura del contrato de prestación de servicios, que su mandato será por periodos mínimos de dos años renovables y que sus datos de contacto deberán ser comunicados a la autoridad de control del Estado Miembro en cuestión y al público en general ya que cualquier interesado tendrá derecho a contactar con el DPO, y es aquí donde tenemos una de sus funciones, la de atender las consultas, quejas y reclamaciones de los afectados.

De acuerdo con la propuesta de Reglamento, sus funciones pueden ser las siguientes:

“a) informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas;

b) supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento;

d) velar por la conservación de la documentación contemplada en el artículo 28;

e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32;

f) supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34;

g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;

h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.”

Hasta aquí lo que prevé la futura norma, pero de facto un buen DPO deberá tener otras competencias profesionales. Ya hemos indicado que el nuevo sistema crea una norma marco, directamente aplicable en todos los Estados Miembros, por lo que tendremos una norma, al menos una autoridad de control por Estado Miembro aplicándola, interpretándola e imponiendo sanciones en virtud de ella y 27 sistemas judiciales controlando a esas autoridades de control y aplicando directamente ese Reglamento. Lo único que nos diferenciará de nuestros homólogos europeos serán las normas y procedimientos de tramitación y resolución de procesos judiciales y administrativos, que se regirán de acuerdo a la normativa interna.

Por ello ya no bastará con estudiar los procedimientos de la AEPD, las sentencias de la Audiencia Nacional o el Tribunal Supremo o si el artículo tal de la LOPD se ajusta a la Directiva 95/46, sino que habrá que compararlos con la aplicación en fase  administrativa o jurisdiccional que se haga en otros Estados Miembros ante casos idénticos. En este contexto, el Tribunal de Justicia de la Unión Europea tendrá mucho que decir a la hora de unificar criterios interpretadores de la norma y las autoridades de control deberán coordinarse aún si cabe más, de lo que están ahora.

Teniendo en cuenta que un arma del DPO puede ser que un juez o tribunal nacional plantee una cuestión prejudicial, y que para ello tendrá que saber lo que está pasando en otros Estados Miembros, los idiomas se plantean como requisito ineludible para este profesional. Sería de agradecer que tras la entrada en vigor del futuro Reglamento, todas las páginas web de las autoridades de control y la totalidad de los documentos y actos administrativos y judiciales que en estas obren, a parte del idioma oficial del país en cuestión, lo estén al menos, en otro idioma de conocimiento y uso generalizado. Como aliciente al conocimiento de otros idiomas, puede añadirse que de haber un marco normativo común, el único hándicap a la hora de ejercer como DPO en otro Estado Miembro será el conocimiento de ese idioma.

Publicado por el autor el 4 de Octubre de 2012 en LegalToday.