Es una figura blindada: la compañía no podrá despedir ni
sancionar al DPO
En
mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos.
Una norma que será de aplicación obligatoria a partir de esa fecha y que impone
a las empresas numerosos deberes en relación a la privacidad. Una de las
exigencias que introduce es la contratación de un delegado de protección de
datos (DPO, por sus siglas en inglés: data protección officer)
en determinados supuestos.
La norma no precisa los casos en los
que será necesario contratar con el DPO a través determinar una cantidad de
datos tratados, personas afectadas por el tratamiento o el ámbito de los
mismos, sino que ofrece una descripción general de los supuestos en que será
obligatorio.
Por ello, para ofrecer algo de luz a
las empresas en esas zonas grises, la Agencia Española de Protección de Datos
(AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del
Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los
Estados y de la UE en materia de privacidad) que precisan algo más los conceptos
a los que se refiere el Reglamento.
Tres
supuestos de designación obligatoria
El artículo 37 del Reglamento determina
la obligatoriedad de la designación del DPD: (1) cuando el tratamiento lo lleve
a cabo una autoridad u organismo público; (2) cuando las actividades
principales del responsable o encargado del tratamiento consistan en
operaciones de tratamiento que requieran un seguimiento regular y sistemático
de los interesados a gran escala; y (3) cuando las actividades principales del
responsable o el encargado consistan en el tratamiento a gran escala de
categorías especiales de datos o datos personales relacionados con condenas y
delitos.
El GP29 recomienda, en caso de duda de
si una empresa entra dentro de esos supuestos, ésta elabore un informe que
recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta
a las Administraciones y entes del sector público, en los que se plantean menos
dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que
requieren una mayor precisión.
"Actividades
principales"
Cuando los dos segundos apartados se
refieren a las "actividades principales del responsable o el encargado del
tratamiento" hablan de la actividad primaria de la empresa, y no aquellas
en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una
actividad principal cuando el tratamiento de datos sea el objetivo fundamental
de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el
tratamiento resulte parte intrínseca de la actuación de la empresa. En este
segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si
bien finalidad principal es la prestación de servicios sanitarios, éstos no
podrían prestarse sin operar con los datos de los pacientes. En consecuencia,
el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de
datos de los empleados necesario para el pago de nóminas, por ejemplo, no
tendrá la consideración de actividad principal sino de actividad auxiliar. Así,
no dará lugar a la obligación de contratar un delegado.
"A
gran escala"
El Reglamento no especifica una cifra
de datos tratados o personas afectadas que permite considerar que el
tratamiento es "a gran escala". El GP29, sin embargo, no descarta que
pueda establecerse un método estándar que lo precise en términos objetivos y
cuantitativos. En todo caso, y a la vista de lo problemático de este concepto,
sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué
situaciones, a priori poco claras, es necesario nombrar
un delegada.
De momento, los elementos que deben
tenerse en cuenta para precisar si el tratamiento es "a gran escala"
son: la cantidad de personas afectadas (en número o en proporción), el volumen
de datos o el abanico de diferentes conceptos de datos que se procesan, la
duración o permanencia de la actividad de tratamiento de datos y el alcance
geográfico de la actividad del tratamiento.
"Seguimiento
regular y sistemático"
Por "seguimiento" debe
entenderse todas las formas posibles de seguimiento y creación de perfiles en
Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha
noción no se limita, además, al comportamiento online.
Al hablar de "regular" se
refiere el que se realice de forma continuada o que se produce en intervalos
concretos durante un tiempo concreto; recurrente o repetido en momento
prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por
"sistemático", el GP29 especifica que es el que se produce de acuerdo
con un sistema; preestablecido, organizado o metódico; que tiene lugar como
parte de un plan general de recogida de datos; o, por último, como parte una
estrategia.
No puede
ser despedido ni recibir instrucciones
El
Reglamento otorga un papel muy relevante al delegado en el seno de las empresas
y, además, lo blinda para convertirlo en una auténtica figura de control
interno.
En
este sentido, los datos de contacto del DPO deben ser públicos para que
cualquier interesado o el organismo de supervisión pueda contactar con él de
forma fácil, directa y confidencial, sin que esta comunicación trascienda en la
organización.
La empresa, además, deberá proveerle de
los "recurso necesarios", en tendido en sentido amplio: que tenga el
tiempo suficiente para cumplir sus funciones; que reciba el apoyo adecuado en
cuanto a recursos económicos, infraestructuras y personal; que tenga acceso a
otros servicios y departamentos (el archivo de recursos humanos, por ejemplo);
y, además, que se le dote de formación continua para mantener su
"conocimiento experto".
En el ejercicio de sus funciones, el
DPO no podrá recibir ninguna instrucción (ya sea un trabajador de la empresa u
organización o no) y, además, no podrá ser despedido o sancionado por el
ejercicio de las mismas. El concepto "sanción" debe entenderse en sentido
amplio: están prohibidas tanto las directas como las indirectas (la dilación de
un ascenso, por ejemplo); también la mera amenaza de la misma.