El Delgado de Protección de Datos en el Proyecto de Reglamento Europeo: una visión de futuro

DPO_3

Por José Luis Colom Planas

1. INTRODUCCIÓN.

Leyendo el borrador del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), observo la aparición de una figura novedosa, en relación a la LOPD (Ley Orgánica de Protección de datos) vigente en el estado español.

1.1. NORMATIVA APLICABLE ACTUALMENTE EN ESPAÑA

Para situarnos, en el ordenamiento jurídico vigente actualmente en España, podríamos destacar la siguiente legislación básica en materia de protección de datos de carácter personal:

  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ambas en concordancia y como transposición de la Directiva europea 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

NOTA DEL EDITOR: La Comisión Europea ha decidido basar su nueva propuesta en un reglamento y no en una directiva como la actual (Directiva 95/46/CE) ya que es un medio mucho más idóneo para armonizar su aplicación en todo el EEE (Espacio Económico Europeo). La razón es que entre ambos instrumentos jurídicos, un reglamento es una norma de aplicación directa a los Estados miembros sin posibilidad de que estos lleven a cabo ninguna modificación de la misma, mientras que una directiva requiere de un proceso de transposición al derecho nacional. Por consiguiente, el futuro reglamento evitará que los legisladores de cada país miembro se desvíen del texto que en su día aprueben el Parlamento Europeo y el Consejo de la Unión Europea.

1.2. ACTORES CONTEMPLADOS ACTUALMENTE EN ESPAÑA

1.2.1. Según la LOPD y el RLOPD

A partir de la legislación aplicable actualmente en España, se consideran tres figuras en relación al tratamiento de datos de carácter personal, enunciadas en la LOPD y su Reglamento de aplicación:
RESPONSABLE DEL FICHERO O TRATAMIENTO (DATA CONTROLLER): “La persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.

ENCARGADO DEL TRATAMIENTO (DATA PROCESSOR): “Es la persona física o jurídica, pública o privada u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.

RESPONSABLE DE SEGURIDAD (DSO): “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

NOTA DEL EDITOR. Según el Artículo 95 del RLOPD: “En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero o al Encargado del Tratamiento de acuerdo con este reglamento”.

1.2.2. Para proteger la información

CISO (CHIEF INFORMATION SECURITY OFFICER):   “Es el responsable en una organización de asegurar que los activos de información estén adecuadamente protegidos. Para ello diseñará, desarrollará, implementará y mantendrá diferentes procesos encaminados a reducir los riesgos de los activos de información y la tecnología que los soportan”.

Debe basarse en un SGSI (Sistema de Gestión de la Seguridad de la Información), tipo el que marca la ISO 27001, para gestionar la seguridad de la información de forma sistemática y en base a tres parámetros:

  • Análisis de Riesgos (amenaza, probabilidad, impacto)
  • Regulación y Cumplimiento Legal
  • Políticas generales de la empresa (Estrategia empresarial)

No es suficiente con que asegure la CONFIDENCIALIDAD, DISPONIBILIDAD e INTEGRIDAD de la Información, sino que debe asegurar el cumplimiento legal y normativo. No olvidemos que simplificando mucho, podemos considerar las medidas de seguridad que marca actualmente el Reglamento de Aplicación de la LOPD, como un mini SGSI con alcance reducido a los datos de naturaleza personal en la empresa.

NOTA DEL EDITOR. Si observamos los controles de seguridad del apéndice A de la ISO 27001:2013, vemos que está el objetivo 18.1 “Compliance with legal and contractual requirements”, que se implementa mediante los controles 18.1.1. al 18.1.5. El control 18.1.4. trata sobre privacidad y protección de información identificable personal.

Cuando se apruebe el borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la Protección de los Datos Personales, el CISO podrá relajarse en lo referente a regulación y cumplimiento legal, debiendo entonces coordinarse con el DPO.

1.3. NUEVO ACTOR QUE APARECE EN EL REGLAMENTO EU

El Parlamento Europeo y el Consejo de la Unión Europea, considera en el borrador del Reglamento, además de las dos primeras figuras anteriores, (Responsable y Encargado del Tratamiento), otra adicional en el supuesto que se den ciertos condicionantes:

DELEGADO DE PROTECCIÓN DE DATOS (DPO): “(75) Si el tratamiento se efectúa en el sector público o en el caso de que, en el sector privado, el tratamiento lo realice una gran empresa, o si sus actividades esenciales, con independencia del tamaño de la empresa, implican operaciones de tratamiento que exijan un seguimiento periódico y sistemático, una persona debe ayudar al responsable o encargado del tratamiento a supervisar la observancia interna del presente Reglamento. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y tareas con independencia”.

En las últimas revisiones se han revisado y modificado los condicionantes para requerirse la figura del DPO, como veremos a continuación.

NOTA DEL EDITOR: Si bien la traducción literal del inglés de la figura del DPO (Data Protection Officer) sería “Oficial de Protección de Datos”, en la versión española de la PRGPD se traduce como “Delegado de Protección de Datos”.

1.4. EMPRESAS QUE REQUERIRÁN DISPONER DE UN DPO

1.4.1. Según el borrador del Reglamento europeo

Vemos que para una organización es imprescindible disponer de dicha nueva figura del DPO (Delegado de Protección de Datos) si se da alguno de los siguientes condicionantes:

  • El tratamiento sea llevado a cabo por autoridades u organismos públicos.
  • El tratamiento sea llevado a cabo por una persona jurídica con respecto a más de 5.000 interesados durante un periodo consecutivo de 12 meses. (Tendrá una afectación directa a muchas empresas que gestiones BB.DD. de Marketing).
  • Las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.
  • Las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento de categorías especiales de datos con arreglo al artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala.

1.4.2. Según CEDPO

Con respecto a la posible obligación de nombrar a un DPO, CEDPO (Confederation of European Data Protection Organizations) en su día sugirió tener en cuenta los siguientes criterios basados en los riesgos que presenta la actividad. Observamos que prácticamente la totalidad de sus sugerencias se han incorporado al nuevo texto.

Finalidad de las operaciones de tratamiento. Puede atribuirse un potencial riesgo más alto a las empresas que comercialmente llevan a cabo un tratamiento automatizado de datos personales con el fin de comunicarlos a terceros y requieren el consentimiento de los titulares de los datos por un motivo legítimo (por ejemplo, listas para mailings). Lo mismo se aplica a las organizaciones que traten datos personales con fines de investigación de mercado o de opinión o para cualquier proceso que requiere evaluación de impacto en la protección de datos. Lo mismo podría aplicarse los tratamientos en los que se obtengan perfiles de los individuos que pudieran implicar riesgos específicos para los derechos y libertades de los interesados.

Sensibilidad de los datos o el tratamiento. Naturalmente, la sensibilidad de los datos que están siendo procesados tiene que ser tomada en cuenta. Por ejemplo de acuerdo con la Ley Federal Alemana de Protección de Datos (BDSG), la obligación de nombrar a un DPO se aplica en todos los casos donde se requiere control previo (en el Reglamento, el Comité se remite a la “consulta”). Esto puede incluir el tratamiento de los datos sensibles de acuerdo con el artículo 8 (1) de la Directiva de la UE (95/46/CE) a menos que este tratamiento está obligado a cumplir con la legislación nacional o simplemente incidental. En cualquier caso, CEDPO cree que la evaluación de la utilidad de nombrar a un DPO debería ser parte de la evaluación del impacto en la protección de datos individual llevado a cabo por el responsable.

Cantidad de datos objeto de tratamiento. Las organizaciones que procesan grandes cantidades de datos personales son más propensas a padecer situaciones de riesgo para los derechos y libertades de los interesados que las que  sólo tratan un mínimo de datos personales. En general, las organizaciones en las que el tratamiento de datos personales es una parte importante de su finalidad principal (por ejemplo, los proveedores de servicios de Internet o de telecomunicaciones) tienen un potencial de mayor riesgo, debido a las grandes cantidades de datos personales tratados. Lo mismo se aplica a las empresas que traten datos personales en nombre de sus clientes. CEDPO está de acuerdo con la Comisión de que los mecanismos de control interno son especialmente importantes “en los casos cada vez más comunes en donde los responsables delegan el tratamiento en otras entidades (por ejemplo, encargados).” Incluso si el responsable sigue siendo responsable en estos casos, es esencial tener una persona de contacto con conocimientos dentro del encargado.

1.5. FIGURAS IMPLANTADAS EN LOS ESTADOS DE LA UE

1.5.1. Justificación

La Directiva 95/46/CE dio a los estados miembros de la Unión Europea la posibilidad de introducir en su legislación nacional la designación de un DPO (Delegado de Protección de Datos). Algunos países han aprovechado esta oportunidad y han actuado en base a ella.

Sin embargo, los derechos y facultades de DPO pueden variar en función de las legislaciones de los estados miembros de la UE, como puede apreciarse en un estudio del CNIL. (2)

1.5.2. Oficial de Protección de Datos (DPO)

De donde proviene:

El rol de DPO proviene del artículo 18 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos.

Atribuciones:

El DPO es responsable, en particular para asegurar de forma independiente la aplicación interna de la legislación nacional de protección de datos, de llevar un registro de tratamiento de datos personales aplicado en la organización, y para garantizar que los derechos y libertades de los interesados ​​sean poco probable que se vean perjudicados por las operaciones de tratamiento. En Francia, este papel es asumido por el CIL (Corresponsal de Informática y Libertades).

1.5.3. Oficial de seguridad de datos (DSO)

De donde proviene:

El rol de DSO proviene del artículo 2.4 de la Directiva 2009/136/CE se modifica la Directiva 2002/58/CE relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y su Reglamento.

Atribuciones:

El DSO es responsable, en particular para proteger los datos contra su cesión no autorizada, acceso a los mismos por parte de una persona no autorizada, o cualquier cambio, pérdida, daño o destrucción. El DSO también supervisa la aplicación de las medidas técnicas y organizativas para proteger los datos personales sean procesados, adecuados a los riesgos y la categoría de los datos protegidos.

1.5.4. Mapa de adopción de DPO y DSO en la UE

A continuación se muestra un mapa donde se representa la figura adoptada por los diversos países de la UE en relación a la protección de datos de naturaleza personal.

DPO2

 2. ATRIBUCIONES PROFESIONALES

NOTA DEL EDITOR. La figura del DPO o equivalente ya existe actualmente  en otros países de la UE. Puede verse un estudio elaborado por CEDPO (1) en el apartado de bibliografía.

2.1. SEGÚN EL ÚLTIMO BORRADOR DEL REGLAMENTO

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del presente Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros (…).

Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Velar por la conservación de la documentación contemplada en el artículo 28.

Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32.

Ofrecer el asesoramiento que se le pida acerca de la evaluación de impactorelativa a la protección de datos y supervisar su realización de conformidad con el artículo 33.

Actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales, incluida la consulta previa a que hace referencia el artículo 34, y consultar, en su caso, sobre cualquier otro asunto.

Art. 37.2 bis: “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

3. DESEMPEÑO PROFESIONAL

3.1. EXTERNALIZACIÓN Y COMPARTICIÓN DEL DPO

Otro aspecto interesante en relación al Delegado de Protección de Datos, es que puede ser compartido por un grupo de empresas, o lo que es lo mismo, desempeñar sus funciones a tiempo parcial en cada una de ellas. Cita textualmente:
“Art. 35.2: Un grupo de empresas podrá nombrar un delegado de protección de datos único”.

“Art. 35.3: Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un solo delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño”.

No solo eso, sino que además existe la posibilidad que dicha labor se desempeñe en la modalidad de “Outsourcing” o externalizada como “contrato de servicios”-

 “Art. 35.8: El delegado de protección de datos podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios”.

 “Art. 35.9: El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control (…)”.

Así, aunque esté externalizado deberá hacerse público el nombramiento y especialmente notificado a la Autoridad de Control.

Normalmente será un consultor especializado, independiente o adscrito a undespacho profesional o a una empresa de consultoría, el que actúe y reciba el nombramiento como DPO externo.

No obstante, un posible caso de compartición de dicha figura entre varias empresas podría ser asociándola a los actuales “Códigos Tipo”. Se  trata de códigos de auto-conducta sujetos a regulación que nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos a empresas de sectores específicos que tratan datos de naturaleza personal. Se parte de la base que las empresas que los suscriben tienen parecidas obligaciones y necesidades respecto a la protección de datos de naturaleza personal.

3.2. INDEPENDENCIA

Para proteger su independencia y evitar una excesiva movilidad en el puesto, se blinda la duración de su desempeño, asegurándola durante el período establecido, salvo incumplimiento de su labor.

“Art. 35.5: El (…) delegado de protección de datos será designado atendiendo a suscualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos contempladas en el artículo 37, y en particular a la ausencia de conflictos de intereses. (…)”

“Art. 35.7: (…). Durante su mandato, el delegado de protección de datos solo podrá ser destituido, aparte de por motivos graves que, con arreglo al Derecho del Estado miembro afectado, justifiquen la destitución de un empleado o funcionario, si deja de cumplir las condiciones requeridas para el ejercicio de las funciones que se le atribuyen en el artículo 37.

3.3. APOYO DE LA DIRECCIÓN

Para alcanzar el éxito en la implementación de los sistemas de gestión, los programas efectivos de Compliance, la aplicación de medidas de prevención y control interno, etc., el apoyo de la Alta Dirección (Órganos de gobierno corporativo) es imprescindible.

“Art. 36.1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestionesrelativas a la protección de datos personales”.

“Art. 36.2. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las tareas contempladas en el artículo 37 facilitando tanto (…) los recursos necesarios para el desempeño de dichas tareas como el acceso a los datos personales y a las operaciones de tratamiento”..

“Art. 36.3. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos pueda actuar con independencia en el desempeño de sus tareas y no reciba ninguna instrucción relativa al ejercicio de dichas tareas. No será sancionado por el responsable o el encargado del tratamiento por desempeñar sus tareas. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento”.

“Art. 36.4. El delegado de protección de datos podrá desempeñar otras tareas y funciones. El responsable o encargado del tratamiento garantizará que dichas tareas y funciones no den lugar a conflicto de intereses”.

3.4. COMPETENCIAS PROFESIONALES

Los criterios aplicables a las competencias profesionales de DPO podrán desarrollarse por medio de los “Actos Delegados”. Se delega en la Comisión la facultad de adoptar actos “no legislativos” de alcance general que completen o modifiquen determinados elementos no esenciales del reglamento.
“Art. 35.5: El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento.”

“3.4.10. CAPÍTULO X – ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN. El artículo 86 contiene las disposiciones tipo para el ejercicio de las delegaciones en consonancia con el artículo 290 del TFUE. Ello permite al legislador delegar en la Comisión el poder de adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales de un acto legislativo (actos cuasi legislativos)”.

3.4.1. Áreas de conocimiento

En base a las directrices de la Norma internacional ISO 27001 de Gestión de la Seguridad de la Información, coincidiremos que las áreas de conocimiento de un DPO para poder asegurar la protección de la información, con alcance limitado a datos de naturaleza personal, debería basarse en medidas:

  • Jurídicas
  • Técnicas
  • Organizativas

Da la impresión que, mientras el actual RLOPD en España asigna al Responsable de Seguridad principalmente medidas técnicas, el Reglamento europeo aboga por el conocimiento de la legislación en materia de protección de datos.

3.4.2. Perfil formativo

Para mí, la ratio legis de la sección IV (artículos 35, 36 y 37) de la propuesta de RGPDUE no es otra que impulsar el rigor en la protección de datos en el marco de la Unión Europea,  dotando de la debida profesionalización a la figura del DPO. También elevándola al nivel que se merece, por la responsabilidad de su desempeño, en las organizaciones.

En cuanto al perfil formativo del Delegado de Protección de Datos, surge la duda de si se refiere a un perfil de Licenciado en Derecho con buenos conocimientos de tecnologías TIC o bien un Ingeniero de Sistemas o equivalente con sólidos conocimientos sobre la legislación vigente en materia de protección de datos personales. O quizá ambos son válidos, pues cada perfil puede buscar formación complementaria en el ámbito en el que presente mayores carencias [Postgrados de Derecho o de seguridad de la información, por ejemplo].

El borrador no concreta una determinada formación académica o profesional, sino que alude a unos conocimientos especializados tanto de tipo jurídico, como de gestión de la protección de datos, junto con la capacidad de atender a las tareas específicas previstas en el art. 37, y todo ello teniendo en cuenta que deberá disponer de conocimiento especializado respecto de los tratamientos, es decir, poseer de un cierto nivel de conocimiento en relación al sector de actividad en el que se desenvuelve la organización.  Luego a los conocimientos generales en materia de protección de datos (jurídicos y de gestión), deberán unirse conocimientos especializados en relación al tratamiento concreto (banca, salud, administraciones públicas, marketing, etc.), según el caso.

NOTA DEL EDITOR: Para un análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.

Para un análisis comparativo del borrador del Reglamento publicado el 25 de enero de 2012 por la Comisión Europea, de modo que permita conocer en detalle todos los aspectos regulados, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.

BIBLIOGRAFIA CONSULTADA.

Comisión Europea. 25 Enero 2012. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”.

PROPUESTA DE REGLAMENTO

Consejo de la Unión Europea. 3 de octubre 2014. “Propuesta de Reglamento del Parlamento Europeo y del Consejo… (Reglamento General de Protección de Datos). Primera lectura”. Capítulo IV.

Debate en el DAPIX

iiR España. “Documentación OnLine completa de la última edición del Seminario:DATA PROTECTION OFFICER”.

http://www.iirspain.com/Documentacion/

Francisco José Santamaría Ramos. 2011. “EL ENCARGADO INDEPENDIENTE, figura clave para un nuevo Derecho de protección de datos”. Editorial LA LEY (grupo Wolters Kluwer).

(1) CEDPO contribution. 6 Febrero 2012. “COMPARATIVE ANALYSIS OF DATA PROTECTION OFFICIALS ROLE AND STATUS IN THE EU AND MORE”.

COMPARATIVE ANALYSIS DPO IN THE EU

Peter Hustings (The European Data Protection Supervisor). 12 Octubre 2010. “DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR”.

DECISION OF EU DPO SUPERVISOR

The European Data Protection Supervisor. 28 Noviembre 2005. ”POSITION PAPER ON THE ROLE OF DATA PROTECTION OFFICERS IN ENSURING EFFECTIVE COMPLIANCE WITH REGULATION (EC) 45/2001”.

ROLE OF DPO EC

Network of Data Protection Officers of the EU institutions and bodies. 14 Octubre 2010. “PROFESSIONAL STANDARDS FOR DATA PROTECTION OFFICERS OF THE EU INSTITUTIONS AND BODIES WORKING UNDER REGULATION (EC) 45/2001”.

PROFESSIONAL STD FOR EU DPO

CNIL. “DPO in Europe – Which countries in Europe have adopted a Data Protection Officer?”. Página web.

DPO in Europe CNIL