Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

b). Una empresa mediana que fabrica azulejos subcontrata sus servicios de salud laboral a un responsable del tratamiento externo con un gran número de clientes similares. El responsable del tratamiento designará un DELEGADO DE PROTECCIÓN DE DATOS en virtud del artículo 37, apartado 1, letra c), siempre que el tratamiento se realice a gran escala. No obstante, el fabricante no estará necesariamente obligado a designar un delegado de protección de datos.

25Durante años, nuestra doctrina ha mantenido un enconado debate en torno a la definición general de grupo de sociedades. Se confrontaba el llamado concepto inglés, basado en la existencia o posibilidad de control, con el concepto germánico, más amplio, basado en la noción de unidad de decisión. El primero tenía reflejo en el artículo 42 del Código de Comercio y el segundo en el actual artículo 5 TRLMV. En el año 2003 (por Ley 62/2003, de 30 de diciembre), el Legislador español tomó partido por el concepto germánico de grupo, al modificar el artículo 42 del Código de Comercio e introducir en el mismo una definición centrada en la noción de unidad de decisión. Con ello daba cabida, no sólo a los denominados grupos verticales o de subordinación, en los que se da una situación de control, sino también a los llamados grupos horizontales, caracterizados por existir una unidad de decisión entre dos o más sociedades, sin que haya dominio por parte de ninguna de ellas. Ya en 2007, desarrollando la reforma introducida en nuestro Derecho contable por la Ley 16/2007 se define dos conceptos de grupo. Estos dos conceptos son los siguientes:

- Grupo de subordinación (Grupo “vertical”): El regulado en el artículo 42 del Código de Comercio, que podríamos denominar de subordinación, formado por una sociedad dominante y otra u otras dependientes controladas por la primera.

- Grupo de coordinación (Grupo “horizontal”): El integrado por empresas controladas por cualquier medio por una o varias personas físicas o jurídicas, que actúen conjuntamente o se hallen bajo dirección única por acuerdos o cláusulas estatutarias, previsto en la indicación decimotercera del artículo 260 de la Ley de Sociedades de Capital, en la norma de elaboración de las cuentas anuales (NECA) número 13. Empresas del grupo, multigrupo y asociadas del PGC y en la NECA número 11 del PGCPYMES.

Cfr.: Concepto de Grupos de Empresa. Guía Jurídica Wolters Kluwer.

https://guiasjuridicas.wolterskluwer.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbF1jTAAAUMjCwMLtbLUouLM_DxbIwMDCwNziEBmWqVLfnJIZUGqbVpiTnEqACDs4sY1AAAAWKE

26En este sentido, a título de ejemplo, no puede pasarse por alto el contenido del Artículo 12, apartado 1 del Reglamento (UE) 2016/679, en donde la información y la comunicación entre el responsable del tratamiento y el titular de los datos afectados por el tratamiento se hace inexcusable. En dicho precepto, en este orden de cosas, se afirma:

«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño».

27En este sentido, CARO, Lucia, que equipara la existencia de los recursos económicos, humanos y materiales con que debe contar un DPD, y el apoyo de la alta dirección de la organización, al hecho de que el DPD cuente con el tiempo necesario para el ejercicio de sus funciones.

Cfr.: “El papel del delegado de Protección de Datos”. Nueva Empresa. 4 de octubre de 2018.

http://www.nuevaempresa.com/delegado-proteccion-datos-y-rgpd/

28En este sentido, debe tenerse en cuenta con relación a la aplicación del ámbito territorial de la nueva normativa, tal como señala el Grupo de Trabajo del Artículo 29, el contenido del artículo 3 del Reglamento (UE) 2016/679, en el que se señala lo siguiente:

“1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3.El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público”.

29En este sentido, cfr. JIMENEZ ASENSIO, Rafael. “El delegado de protección de datos: perfil y encuadre en las organizaciones públicas (en especial en los entes locales)”. La Administración al día. Instituto Nacional de la Administración Pública. 22 de marzo de 2018.

http://laadministracionaldia.inap.es/noticia.asp?id=1508368

30El conocimiento del sector empresarial y de la organización del responsable del tratamiento es también útil. Asimismo, el delegado de protección de datos debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento.

Cfr.: Grupo de Trabajo del Artículo 29.

31El Grupo de Trabajo del artículo 29, pone como ejemplo de la necesidad de conocimiento específico dentro del ámbito de la empresa, el hecho consistente en si por la misma transfiere sistemáticamente datos personales fuera de la Unión Europea o si dichas transferencias son meramente circunstanciales o de carácter ocasional.

32Cfr.: Grupo de Trabajo del Artículo 29, de la Directiva 95/46/CE. WP 143. Obra citada.

33Cfr.: Grupo de Trabajo del Artículo 29, de la Directiva 95/46/CE. WP 143. Obra citada.

34Cfr.: ESPAÑA, Mar. “El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido”. El Derecho.com. 1 de agosto de 2017.

https://elderecho.com/el-delegado-de-proteccion-de-datos-esquema-de-certificacion-nombramiento-funciones-y-perfil-requerido

Dicha autora señala que desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El delegado de protección de datos requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que, en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.

35Agencia Española de Protección de Datos. “Comunicación del Delegado de Protección de Datos”.

https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf

36El apartado 1º del artículo 37 del RGPD señala que “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”.

37Cfr.: “La Agencia Española de Protección de Datos publica el sistema de notificación electrónica para comunicar la designación de Delegados de Protección de Datos. Iberley. 12 de abril de 2018.