El papel corporativo del Delegado de Protección de Datos

La entrada en vigor del Reglamento General de Protección de Datos (RGPD) ha traído consigo la incorporación de un nuevo puesto de trabajo. Se trata del Delegado de Protección de Datos (DPD). Su definición en el articulado, incluso a nivel europeo, resulta un tanto vaga. Por ello, es necesario valorar la importancia del DPD y su presencia en las reuniones directivas.

La figura del Delegado de Protección de Datos

La aplicación de la RGPD ha puesto el foco de atención en la obligación de garantizar marcos seguros y entornos que salvaguarden los datos privados. Esto ha hecho que las organizaciones hayan tenido que dar respuestas a grandes desafíos.

Entre ellos destacan cuestiones como el modo de gestionar la seguridad, la manera de implementar una política de custodia de datos o la integración de la privacidad en los procesos de negocio.

Para atender y afrontar todas estas circunstancias, el texto legislativo de la Unión Europea contempla la figura del Delegado de Protección de Datos. El documento europeo, sin embargo, no es muy claro a la hora de exponer el concepto de DPD. Eso ha hecho que, aunque haya sido recibido de manera positiva, las empresas se estén encargado de definir el papel del DPD.

El DPD en el RGPD

El artículo 35 del reglamento explica cómo debe efectuarse la elección de este trabajador, que puede pertenecer a la plantilla o puede ser contratado de manera externalizada.  De cualquiera de las maneras, el Delegado de Protección de Datos siempre deberá acreditar su certificación. Esta debe haber sido obtenida siguiendo el protocolo de la Agencia Española de Protección de Datos (AEPD).

El artículo señalado anteriormente estipula, en su primer punto que es “el responsable y el encargado del tratamiento” quien deberá designar un DPD. No obstante, esta obligación se circunscribe a ciertas circunstancias literales:

  1. El tratamiento lo debe llevar a cabo una autoridad u organismo públicos, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. Las actividades principales del responsable o del encargado deben consistir en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Las actuaciones primordiales se centran en el tratamiento a gran escala de categorías especiales de datos personales, con arreglo al artículo 9, y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Significado de los criterios prioritarios para la designación del DPD

La AEPD basa la elección del DPD en función de los tres puntos señalados del art. 35. Pero ¿qué significan conceptos como “actividades principales”, “observación sistemática” o “tratamiento a gran escala”?

Es importante abundar en ello para conseguir una definición más clara sobre la necesidad de un DPD en la empresa.

Actividades principales

Según la AEPD, las actividades principales hacen referencia a actuaciones fundamentales para la consecución de las finalidades de la persona encargada del tratamiento de datos. A pesar de ello, estas actividades no han de ser valoradas de manera aislada en determinadas ocasiones. Sobre todo, hay que tener este punto en cuenta cuando tratar los datos resulte un proceso inseparable de la tarea del responsable del tratamiento.

Un ejemplo claro se localiza en el dictamen del Grupo de Trabajo del art. 29. Los integrantes eligieron un hospital para determinar esta cuestión. Este tipo de organización tiene como actividad principal la prestación de atención sanitaria.

No obstante, esta labor no podría ser desempeñada sin el tratamiento de datos sensibles, como los historiales clínicos de los pacientes. Por ello, se infiere que el manejo de esa información tiene que ser considerado como una de las actividades principales del hospital. Llegados a este punto, está claro que la empresa debe asumir la designación de un DPD.

Observación habitual y sistemática

Este es uno de los puntos que no quedan suficientemente claros en el texto del RGPD. De nuevo, es el Grupo de Trabajo del art. 29 el que ofrece una interpretación acerca del concepto “habitual”. De hecho, le asigna varios posibilidades en torno al seguimiento de perfiles y comportamientos:

  • Se produce de manera continuada o durante periodos concretos.
  • La forma de llevarlo a cabo es reiterada en épocas prefijadas.
  • Ocurre de un modo constante o periódico.

En cuanto al significado que se le atribuye al término “sistemático”, también se ofrecen varias alternativas:

  • Las actuaciones se realizan bajo un planteamiento sistematológico.
  • Las acciones están preestablecidas, organizadas o son metódicas.
  • Se ocasionan como punto integrante de una planificación general de toma de datos.
  • Están encuadradas dentro de una estrategia.

Existen multitud de ejemplos que pueden considerarse como una observación habitual y sistemática:

  • Los servicios de telecomunicaciones
  • El redireccionamiento de emails
  • Acciones de marketing
  • Perfiles de evaluación de riesgos
  • Ubicaciones a través de apps móviles
  • Programas de fidelización… etc.
Gran escala

De nuevo es el Grupo de Trabajo del art. 29 el que ofrece cierta orientación para dilucidar el concepto. Recomienda tener en cuenta ciertos elementos para concluir si el tratamiento se está realizando a gran escala:

  • Número de interesados afectados
  • Cantidad de datos
  • Duración del tratamiento de datos
  • Alcance geográfico

La importancia corporativa del DPD

La importancia de esta figura viene determinada por las tareas que implica el desempeño del puesto. Sus labores quedan expuestas en el art. 39 del RGPD:

  • Información y asesoramiento al responsable y al equipo de tratamiento y protección de datos.
  • Supervisión de la empresa para asegurar que se cumple el RGPD y el resto de normativa sobre protección de datos.
  • Controlar las políticas del responsable de tratamiento, asignar competencias, formación de la plantilla y supervisión de auditorías.
  • Asesorar en torno a la evaluación de impacto que conlleva la protección de datos y vigilar que se aplica de conformidad con el art. 35 del RGPD.
  • Labores de cooperación con la autoridad de control.

El DPD no tiene responsabilidad jurídica. Como hemos visto, sus funciones son de carácter informativo, de asesoramiento y supervisión. Sin embargo, su presencia en las reuniones directivas o ejecutivas servirá para asegurar que todas las decisiones se realizan al amparo del RGPD. El Delegado de Protección de Datos potenciará la eficacia de la empresa en materia de protección de datos.