• Lo primero que tiene que hacer la empresa en su Registro de Actividades de Tratamiento es definir la  naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés).
• Una vez se ha decidido el nombramiento de un DPD, se debe incluir en el RAT  el documento de designación, a suscribir por las partes, tanto para el caso en que sea obligatorio contar con esta figura, como en el caso en que  la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
• Se recomienda documentar, en este Protocolo, la fundamentación jurídica que justifique tanto la obligatoriedad de la designación, como la no obligatoriedad de la designación del DPD en la empresa.
• En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada.

• En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.

• El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015 , del Procedimiento Administrativo Común de las Administraciones Públicas.

• Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.

¿Cuándo es necesario un delegado de protección de datos?

Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,
3.  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (art. 9, RGPD) y de datos relativos a condenas e infracciones penales (art. 10, RGPD)

En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO.

Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de esta persona, o consultor, no es un “DPO”.

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.

En tales casos, la designación de un DPO es obligatoria.

Una tarea pública puede ser llevada a cabo no sólo por parte de Autoridades u organismos públicos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:

• Servicios de transporte,
• Suministro de energía,
• Infraestructuras viarias,
• Servicio público de radiodifusión,
• Vivienda pública o
• Profesiones reguladas.

Datos a gran escala

Otro supuesto en el que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR tampoco define lo que constituye gran escala.

De hecho, no es posible dar un número preciso, ni con respecto a la cantidad de datos procesados ni con el número de personas afectadas.

Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades.

En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores:

• Número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
• Volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
• Duración o permanencia de la actividad de procesamiento de datos.
• Extensión geográfica de la actividad de transformación.

Ejemplos de procesamiento a gran escala:

• Procesamiento de datos de pacientes, en el curso regular de los negocios, por un hospital.
• Tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje).
• Procesamiento de datos geográficos, en tiempo real, de clientes de una cadena internacional de comida rápida, para fines estadísticos, por un procesador especializado en la prestación de estos servicios.
• Gestión de datos de clientes, en el curso normal de los negocios, por una compañía de seguros o un banco.
• Procesar datos personales para publicidad conductual mediante un motor de búsqueda.
• Tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet.

Ejemplos que no constituyen tratamiento a gran escala:

• Procesamiento de datos de pacientes por un médico individual.
• Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos tampoco está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta “regular” como:

• En curso, ocurriendo a intervalos particulares, durante un período determinado.
• Recurrentes o repetidos en horarios fijos.
• Constante o periódicamente, teniendo lugar.

Interpreta que “sistemático” como:

• Ocurren según un sistema.
• Organización previa, organizada o metódica.
• En el marco de un plan general de recogida de datos.
• Realizado como parte de una estrategia.

Ejemplos

• Operar una red de telecomunicaciones;
• Prestación de servicios de telecomunicaciones;
• Elaboración de perfiles y puntuación para fines de evaluación de riesgos;
• Seguimiento mediante aplicaciones móviles;
• Programas de lealtad;
• Publicidad conductual;
• Seguimiento de datos sobre el bienestar, la aptitud física y la salud, a través de dispositivos portátiles;
• Circuito cerrado de televisión;
• Dispositivos conectados.

¿Quién puede ser DPD?

• El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos,  y a su capacidad para desempeñar las funciones indicadas en el artículo 39 RGPD
• El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¿Qué funciones ha de cumplir un delegado de protección de datos?

El delegado de protección de datos tendrá como mínimo las siguientes funciones:

• a) informar y asesorar al responsable o al encargado del tratamiento,  y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Obligatoriedad del DPD en las administraciones públicas

• En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.
• Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD, debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.

Fácilmente accesible desde cada establecimiento

• El RGPD permite a un grupo de empresas designar un único DPO siempre que sea “Fácilmente accesible desde cada establecimiento”.
• La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos.
• A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del RGPD.
• El DPO debe estar en una posición tal que pueda comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.
• También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño.
• Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.
• El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas.  Sin embargo, la obligación de secreto/ confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Entidades obligadas a tener un DPD

Algunas de las entidades que están obligadas a la designación de un delegado de protección de datos son:

• Colegios profesionales y sus consejos generales
• Centros docentes
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información
• Entidades de crédito
• Establecimientos financieros de crédito
• Entidades aseguradoras y reaseguradoras
• Empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y de gas natural
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
• Entidades que desarrollen actividades de publicidad y prospección comercial
• Centros sanitarios
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
• Operadores que desarrollen la actividad de juego
• Quienes desempeñen las actividades de Seguridad Privada
• Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VII). Nombramiento del DPD se publicó primero en Gestiona Abogados.

La entrada COMUNICACIÓN CON LA AUTORIDAD DE CONTROL se publicó primero en Gestiona Abogados.

La entrada RECLAMACIONES DE INTERESADOS se publicó primero en Gestiona Abogados.

Cualquier estructura, esquema o modelo productivo que, durante la ejecución de sus actividades, demande datos personales a la vez que genera nueva información a partir de éstos, necesita contar con un sistema para detectar alteraciones en el acceso a sus bases.  Si se produce un acceso no autorizado a esos datos personales, que pueda comprometer la privacidad, se produce una brecha de seguridad.

¿Cómo debe ser ese sistema?

Tal sistema debe apoyarse en verificaciones periódicas y aleatorias, así como en herramientas informáticas pensadas para la protección. De igual forma, es fundamental un registro ordenado de las incidencias con toda la información posible (niveles de acceso, tipos de datos afectados, alcance de la información comprometida, etc.).

Obligación de notificar la brecha de seguridad

Si durante la evaluación de los sistemas, observamos que se han visto comprometidos derechos personales, se ha producido una brecha de seguridad, naciendo la obligación, en ese momento, de notificarlo a la AEPD, según lo impartido en el artículo 33 del RGPD: Guía para la notificación y gestión de brechas de seguridad

Plan de respuesta

Es por ello que, tan importante es contar con un sistema que detecte problemas de seguridad,como tener un plan de respuesta o actuación para resolver esos problemas de seguridad.

El plan de actuación debe contemplar modelos que categoricen las amenazas y generen acciones de contención. Es decir, un buen plan de actuación tiene como uno de sus ejes, evitar que aumente el daño causado por un acceso o uso fraudulento de los datos.

Defensa de los afectados

“Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. (Artículo 82 RGPD).

Ninguna entidad pública o privada puede permanecer ajena a la nueva coyuntura. Vivimos una época donde toda la realidad es reducible a datos y donde todo se conecta con todo.

La mejor estrategia es contar e incorporar expertos o especialistas en la implementación de todo aquello que orienta el Reglamento. En Gestiona Abogados podemos ayudarle en todo lo que necesite.

La entrada ¿QUE HACER ANTE UNA BRECHA DE SEGURIDAD? se publicó primero en Gestiona Abogados.

Entre ellos, se incluye, la necesidad de nombrar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público” (artículo 37.1.a  RGPD).

En las Entidades Locales, dicha obligatoriedad se extiende a sus entes dependientes de carácter público.

La obligación abarcaría a cualquier tipo de entidad dependiente, incluidas fundaciones y sociedades mercantiles,  en cuanto que son entidades responsables de prestar un servicio público.

Una vez reconocida la apuntada obligatoriedad de disponer de un DPO, debemos considerar dos aspectos distintos en cuanto a su configuración en las Entidades Locales:

1. Por un lado la obligación de nombrar un DPO, en todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y Cabildos) y Ayuntamientos “grandes”; y en su caso para Ayuntamientos “medianos”.
2.  Y por otro lado la posibilidad de que las citadas entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcales) puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos “pequeños” dentro de su ámbito, y en su caso, al resto.
3. En Gestiona Abogados prestamos el servicio con Delegados de Protección de Datos en la Administración Local y otras entidades responsables de prestar un servicio público.

La entrada También actuamos como Delegados de Protección de Datos en la Administración Local se publicó primero en Gestiona Abogados.

El RGPD incorpora nuevos compromisos en materia de privacidad y protección de datos,  pero la normativa europea es poco precisa sobre la contratación de un delegado de protección de datos.

Obligación de designar un DPD

Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:

• Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
• Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
• Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas

El primero de los puntos no deja lugar a dudas ya que se circunscribe únicamente a organismos públicos pero los dos restantes pueden resultar poco específicos.

En pro de precisar conceptos indeterminados el Grupo de Trabajo del artículo 29 (el GP29), un órgano consultivo formado por las autoridades de Protección de Datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, concreta estos conceptos.

Actividades principales

¿Qué entiende el RGPD por actividades principales del responsable de tratamiento?

Estarán obligados a tener un delegado de protección de datos aquellos negocios y empresas que tengan como objetivo el tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo de la misma.

Pongamos un ejemplo para entender cómo se materializan estas indicaciones.

Pensemos en un autónomo que lanza una aplicación móvil para ligar que maneja los perfiles de sus usuarios, un colegio profesional de abogados, una asesoría o una clínica sanitaria privada. Todo ellos manejan datos que inciden directa o indirectamente con datos personales. Por tanto, ¿estarían obligados estos autónomos y pymes a contar con un Delegado de Protección de Datos? Para obtener respuesta habría que tomar en consideración también los siguientes factores.

Datos a gran escala

Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa.

El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de  datos a gran escala.

Seguimiento regular y sistemático

Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia.

Este seguimiento no se refiere exclusivamente al tratamiento online de los datos sino a todas las empresas que realicen seguimiento y tratamiento de datos con independencia de los mecanismos para ello.

Estas son algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:

• Colegios profesionales y sus consejos generales
• Centros docentes
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información
• Entidades de crédito
• Establecimientos financieros de crédito
• Entidades aseguradoras y reaseguradoras
• Empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y de gas natural
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
• Entidades que desarrollen actividades de publicidad y prospección comercial
• Centros sanitarios
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
• Operadores que desarrollen la actividad de juego
• Quienes desempeñen las actividades de Seguridad Privada
• Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Cuál debe ser el perfil de un Delegado de Protección de Datos

El delegado de protección de datos, que puede formar parte de tu plantilla o externalizar el servicio, debe tener conocimientos jurídicos que le servirán de base para el  tratamiento de los datos y el correcto desarrollo de sus competencias profesionales que más abajo detallaremos.

La Agencia Española de Protección de Datos (AEPD) lanza, en aras de certificar esas competencias profesional, el esquema de certificación de Delegados de Protección de Datos.

Además, los responsables del tratamiento en las empresas han de comunicar en un plazo de diez días a la AEPD el nombramiento del delegado de protección de datos.

Competencias profesionales de un Delegado de Protección de Datos

Las funciones del delegado de protección de datos se especifican en el artículo 39 del Reglamento europeo:

• Informar al responsable o a los responsable del tratamiento de datos  sus obligaciones en el tratamiento.
• Supervisar al el correcto cumplimiento de la normativa y las labores derivadas de la misma como la asignación de responsabilidades o la formación del personal.
• Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia  ley orgánica de protección de datosVista previa del enlace añadida por la extensión vLex .
• Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.

En líneas generales, el delegado de Protección de Datos es una figura novedosa certificada para custodiar el procedimiento que siguen las empresas para el control de datos personales de sus clientes.

Ser Delegado de Protección de Datos (DPO por sus siglas en inglés):

• Es encontrar un equilibrio entre la protección de la privacidad del ciudadano, y la utilización de sus datos personales para fines empresariales.
• Es promover la libre circulación de datos personales, con pleno respeto a los derechos de sus titulares.
• Ser DPD también es ser capaz de proponer soluciones allí donde aparentemente no las hay.
• Es estar especializado en la adaptación jurídica de grandes empresas al RGPD.
• Es estar especializado en la utilización del interés legítimo como base legítima de tratamiento de datos personales. (Privacy by design).

La entrada Delegado de Protección de Datos se publicó primero en Gestiona Abogados.