La aprobación del Reglamento General de Protección de Datos (RGPD), el 27 de abril de 2016, por el que se deroga la antigua Directiva 95/46/CE, ha supuesto la consagración de un nuevo modelo de privacidad, que responde a los retos de la sociedad digital y refuerza el papel de las organizaciones en la protección de los derechos y libertades de los usuarios. El RGPD entrará en vigor el 25 de mayo de 2018, tras dos años de vacatio legis, tiempo estimado suficiente por el legislador para adaptar las organizaciones al nuevo marco legal.

Los más de cuatro años de debate que supuso la aprobación final de la propuesta del RGPD acreditan que el cambio de modelo y las implicaciones que de él se derivan, tanto para las administraciones como para las empresas, no han sido fáciles de armonizar en el seno de la UE ni van a ser sencillas de implementar.

No se trata de una mera actualización de medidas para adaptarlas a la era digital, ni tampoco de un instrumento dirigido a ampliar el elenco de obligaciones formales. Todo lo contrario, el RGPD conlleva un cambio estructural y cultural en el tratamiento de datos que ha de abordarse de forma integral y que persigue generar la seguridad jurídica y estabilidad suficientes para los nuevos tipos de negocio basados en el intercambio masivo de datos de carácter personal a través de internet y las redes sociales, y en el análisis de dichos datos a través de herramientas de big data, a la vez que salvaguardar la tutela efectiva de los derechos derivados de la privacidad e intimidad de los ciudadanos, que son, recordemos, reconocidos como derechos fundamentales en la UE (a diferencia de lo que ocurre en otras jurisdicciones, como, por ejemplo, en Estados Unidos).

De hecho, uno de los principales pilares, y en mi opinión, aciertos de la reforma es el principio de “confianza” tanto en las empresas y organizaciones para diseñar las políticas que puedan impactar en el tratamiento de los datos personales y, por extensión, en la privacidad de los ciudadanos, como también en los usuarios, a los que se les concede mayor control de sus propios datos y mayor capacidad de decisión. Entre otras medidas, se establece la transparencia en el tratamiento de datos de carácter personal frente a los titulares de los datos (“accountability”).

Para facilitar la gestión de este nuevo marco y su correcta adecuación, el RGPD ha creado la figura del Delegado de Protección de Datos (en inglés, “Data Protection Officer”) como garante de la protección de datos dentro de las organizaciones y, a su vez, como soporte de las mismas en los nuevos deberes que han de cumplir.

Aunque el espíritu del RGPD es normalizar la participación del Delegado de Protección de Datos en todo tipo de entidades que traten datos de carácter personal, incluidas las PYMES, ya sea que actúen como responsables ya como encargados de tratamiento, su designación únicamente es obligatoria en los siguientes supuestos:

Si el tratamiento de datos de carácter personal lo lleva a cabo una administración pública u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
Si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
O bien, si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales de carácter sensible.

Si bien todavía las guías e instrucciones publicadas por el Grupo de Trabajo del Artículo 29 y por la Agencia Española de Protección de Datos (AEPD) no especifican qué significa “tratamiento a gran escala” de datos personales, todo apunta a que se trata de flujos importantes de datos. En particular, la doctrina apunta que estarán incluidas en esta categoría las actividades consistentes en la monitorización a través de redes e Internet, de perfiles de usuarios enriquecidos por volúmenes importantes de datos. Igualmente, y atendiendo al proyecto inicial de RGPD, parece que las empresas con más de 250 trabajadores podrían considerarse como responsables de un volumen considerable de datos personales.

En relación a quién puede o debe ser designado como Delegado de Protección de Datos, el RGPD es bastante parco en los requisitos exigidos, pues únicamente establece que ha de ser designado atendiendo a su adecuada capacitación y cualidades profesionales, y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

Para acreditar la capacitación de los profesionales, la AEPD ha optado por implementar un sistema de certificación conjuntamente con la Entidad Nacional de Acreditación, aunque esta acreditación no es un requisito imprescindible para ejercer como Delegado de Protección de Datos.

Entre los rasgos más diferenciadores de esta figura, se establece que el Delegado de Protección de Datos, a diferencia del actual “responsable de seguridad”, ha de tener garantizada una especial protección e independencia para ejercer sus funciones, recursos suficientes, incluida la formación de actualización y tener comunicación directa con el nivel jerárquico más alto de la organización o nivel de toma de decisiones. Esta independencia significa que no puede recibir instrucciones, ni ser destituido ni sancionado en el ejercicio de sus funciones.

Asimismo, aunque el Delegado de Protección de Datos puede ejercer otras funciones y cometidos, la organización o empresa responsable de los datos deberá garantizarle que dichas funciones y cometidos no den lugar a conflicto de interés. Tal y como señala la guía publicada por la AEPD, estos conflictos pueden surgir cuando el Delegado, en su tarea de supervisión de las actividades de tratamiento de datos llevadas a cabo por la organización, debe valorar su propio trabajo dentro de ella, como sucede si se designa Delegado de Protección de Datos al responsable de tecnologías de la información (cuando estas tecnologías se emplean para el tratamiento de datos) o al responsable de un área de negocio que decide sobre determinados tratamientos.

Estas garantías deben ser suscritas contractualmente, o bien en el contrato de trabajo, si es un empleado de la empresa, o bien en el contrato de prestación de servicios, si se contrata externamente un Delegado de Protección de Datos.

El Delegado de Protección de Datos puede ser, por tanto, interno o externo, una persona física o jurídica, y puede ser un único Delegado para un grupo empresarial o uno por cada filial. En este ánimo de favorecer que todas las organizaciones puedan contar con el asesoramiento de Delegados de Protección de Datos, el RGPD es bastante flexible, y prevé incluso la existencia de un Delegado de Protección de Datos designado por una asociación que presente sus servicios a las entidades miembros de dicha asociación.

En el supuesto que se nombre un único Delegado para un grupo empresarial, el RGPD exige que éste sea accesible desde cada establecimiento del grupo. Y, conforme ha interpretado la AEPD, dicha accesibilidad incluye la accesibilidad física para el propio personal del grupo y también la posibilidad de que los interesados contacten con el Delegado en su lengua, aun cuando esté adscrito a un establecimiento en otro Estado Miembro.

Finalmente, entre otras funciones de asesoramiento, control del tratamiento de datos y políticas de privacidad, destaca sobre todo el papel de punto de contacto con las autoridades de la AEPD y con los usuarios titulares de los datos, debiéndose publicar sus datos de contacto y atender, en consecuencia, el ejercicio de las consultas y derechos de los interesados.

Para más información, por favor contacte con:

Isabel Martínez Moriel

isabel.martinez@AndersenTaxLegal.es

Descarga la publicación en PDF aquí