• 24/02/2024 01:08

Acción Europea para analizar la designación del delegado de protección de datos

Tiempo estimado de lectura: 3 minutos

IVAN RODA, Abogado de DS Durán-Sindreu

Recientemente, en particular el pasado 15 de marzo de 2023, la Agencia Española de Protección de Datos (“AEPD”) anunció que iba a participar en una acción europea para analizar la designación y situación de los delegados de protección de datos (en adelante, el “DPD” o “DPO”, por sus siglas en inglés).

El objetivo de esta acción es analizar la situación de los DPD en sus organizaciones (tanto públicas como privadas) a los efectos detectar las situaciones más habituales que podrían ir en contra de lo dispuesto en la normativa de protección de datos vigente. Para ello, se enviará un cuestionario a distintas organizaciones con preguntas relativas a la designación del DPO de su compañía, sus conocimientos, tareas desarrolladas y sus recursos.

Con motivo de esta acción, recopilamos todos los criterios que deben tenerse en cuenta para valorar la necesidad de designar un delegado de protección de datos, así como los requisitos que debe cumplir esta figura.

En este sentido, en primer lugar, hemos de tener en cuenta el criterio general establecido por el artículo 37.1. del Reglamento (UE) 2016/679, General de Protección de Datos, que exige la designación de un DPD siempre que:

El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Estos criterios no son acumulativos, por lo que es suficiente con que en una empresa (o un grupo empresarial) se dé alguno de los anteriores requisitos para que resulte necesario el nombramiento de un DPO.

Por su parte, el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales contiene un listado de entidades que están obligadas a designar un delegado de protección de datos, entre las que se encuentran:

Los centros docentes;
Los distribuidores y comercializadores de energía eléctrica;
Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos;
Las empresas de seguridad privada;
Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; y
Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio, entre otras.

Hasta la fecha, la Agencia Española de Protección de Datos ya ha sancionado en tres ocasiones a distintas compañías por no haber designado un DPO cuando se daban los requisitos para ellos con multas de hasta 50.000 €.

Asimismo, para designar un delegado de protección de datos, hay que tener en cuenta lo establecido en los artículos 37 y 38 del RGPD, en relación con las cualidades y conocimientos que debe cumplir el DPD, así como su posición dentro de la organización.

Al respecto, el 13 de diciembre de 2016, el Grupo de Trabajo del Artículo 29 (“GT29”) adoptó sus Directrices sobre los delegados de protección de datos (DPD) en las que se valoraban distintos aspectos de esta figura en relación con los puntos mencionados anteriormente.

En primer lugar, de conformidad con el Considerando 97 del RGPD, el nivel de conocimientos especializados de los que debe disponer un DPO varían en función de las operaciones de datos que se realicen y de la protección exigida para los datos personales tratados. Así, tratamientos de datos más complejos o que comporten el tratamiento de categorías especiales de datos requerirá el nombramiento de un delegado de protección de datos con mayores conocimientos. Además del nivel de conocimientos, deben valorarse otras aptitudes como las cualidades profesionales o la capacidad de desempeñar sus funciones con los recursos que la organización le haya proporcionado.

En segundo lugar, en virtud del artículo 38 RGPD, el delegado de protección de datos debe ser una figura independiente dentro de la organización, por lo que no debe recibir ninguna instrucción ni ser sancionado por el desempeño de las funciones previstas en el artículo 39 RGPD. La independencia del DPO puede verse comprometida cuando la persona que desempeña este cargo también desempeña otras funciones de asesoramiento y supervisión en la organización que pueda derivar en un conflicto de intereses. A modo de ejemplo, la autoridad de control belga sancionó con una multa de 75.000 € a un banco por designar como delegado de protección de datos al director del departamento de Gestión de Riesgos de la Información y Unidad Especial de Investigación.

Para evitar este tipo de situaciones, el artículo 37.6 RGPD prevé que “El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”, es decir, que la figura del delegado de protección de datos personales puede externalizarse para que un tercero independiente y con los conocimientos necesarios ejerza las funciones de DPO.

La entrada Acción Europea para analizar la designación del delegado de protección de datos se publicó primero en Lawyerpress NEWS.


Artículo de Redacción publicado en https://www.lawyerpress.com/2023/03/31/accion-europea-para-analizar-la-designacion-del-delegado-de-proteccion-de-datos/