¿Qué empresas tendrán que contratar un delegado de protección de datos?
Los criterios que fija la norma europea dejan algunas 'zonas oscuras' Si el tratamiento es sólo una 'actividad auxiliar' no será necesario Es una figura blindada: la compañía no podrá despedir ni sancionar al DPO
En mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos. Una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en ingés: data protection officer) en determinados supuestos.
La norma no precisa los casos en los que será necesario contratar con el DPO a través determinar una cantidad de datos tratados, personas afectadas por el tratamiento o el ámbito de los mismos, sino que ofrece una descripción general de los supuestos en que será obligatorio.
Por ello, para ofrecer algo de luz a las empresas en esas zonas grises, la Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan algo más los conceptos a los que se refiere el Regalmento.
Tres supuestos de designación obligatoria
El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El GP29 recomienda, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.
"Actividades principales"
Cuando los dos segundos apartados se refieren a las "actividades principales del responsable o el encargado del tratamiento" hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
"A gran escala"
El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es "a gran escala". El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegada.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es "a gran escala" son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
"Seguimiento regular y sistemático"
Por "seguimiento" debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
Al hablar de "regular" se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por "sistemático", el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.
No puede ser despedido ni recibir instrucciones
El Reglamento otorga un papel muy relevante al delegado en el seno de las empresas y, además, lo blinda para convertirlo en una auténtica figura de control interno.
En este sentido, los datos de contacto del DPO deben ser públicos para que cualquier interesado o el organismo de supervisión pueda contactar con él de forma fácil, directa y confidencial, sin que esta comunicación trascienda en la organización.
La empresa, además, deberá proveerle de los "recurso necesarios", en tendido en sentido amplio: que tenga el tiempo suficiente para cumplir sus funciones; que reciba el apoyo adecuado en cuanto a recursos económicos, infraestructuras y personal; que tenga acceso a otros servicios y departamentos (el archivo de recursos humanos, por ejemplo); y, además, que se le dote de formación continua para mantener su "conocimiento experto"....LEER NOTICIA COMPLETA.