Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

En relación con esta figura, el Supervisor Europeo de Protección de Datos (EDPS), publicó en noviembre de 2005 el documento “Position paper on the role of Data Protection Officers in ensuring efective compliance with Regulation (EC) 45/2001”, donde se analizan cuestiones como la independencia de actuación del delegado así como sus funciones, clasificándolas en actividades destinadas a la concienciación, asesoramiento jurídico, cooperación, cumplimiento, administrativo-burocráticas y gestión de reclamaciones3.

Sin embargo, la misma ha cobrado especial realce desde el día 25 de mayo de 2018, fecha en que se produjo la efectiva aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se derogaba la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos.

Por tanto, uno de los requisitos que introduce el RGPD para garantizar su cumplimiento es la obligación de contar con la ayuda de una persona, el delegado de protección de datos, o DPD, que supervise su observancia interna cuando se trate de una autoridad u organismo público, o en el sector privado si el tratamiento lo realiza un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales4.

Debe tenerse presente que, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un DPD en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio, como, por ejemplo, hace actualmente la República Federal de Alemania al incluir y regular la figura del “Beauftragter für den Datenschutz” en la Ley Federal de Protección de Datos.

El DPD de datos será fundamentalmente el profesional encargado de garantizar el cumplimiento de la normativa de protección de datos en la organización5.

La exposición de Motivos de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales, al referirse a la figura del DPD, lo configura de la siguiente manera:

“La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento”.

La justificación del reconocimiento de la figura del DPD en el Reglamento (UE) 2016/679, se determina por Díaz Díaz6, debido a que el reto tecnológico y jurídico que representa actualmente el desarrollo, la expansión y la popularización de la red de redes, y de sus numerosas aplicaciones tecnológicas precisa necesariamente una aproximación global por su naturaleza transversal o multipropósito y su alcance internacional.

No hay duda de que asistimos a la regulación en privacidad de mayor calado para los años venideros, con nuevas reglas legales, el reconocimiento de derechos fundamentales y de principios de calidad de los datos y habilitación legítima para el tratamiento, motivada por la urgencia de una regulación estable que conforme las sociedades futuras en entornos digitalizados y de procesamiento masivo y transfronterizo de información personal.

La actual revisión de instrumentos internacionales en privacidad alcanza a todos los niveles de gobierno y organización, no sólo en Europa, sino también en entornos internacionales y sectoriales, además de corporativos.

En este sentido, el marco global de la privacidad también queda delimitado por los principios de toda sociedad democrática y respetuosa con los derechos fundamentales.

Por ello, dada su sustantividad propia, y la acción que su figura debe ejercer en aras de la preservación del derecho al habeas data de los titulares de los datos personales, su figura puede y debe ser distinguida de otros profesionales que prestan su actividad en el seno de las empresas, como pueden ser los auditores de cuentas o de las empresas de prevención de riesgos laborales.

A diferencia del auditor de cuentas, la labor del DPD consiste en garantizar que la empresa guarda confidencialidad sobre los datos personales de carácter económico, que obtiene, almacena y modifica en el desarrollo de su actividad. Del mismo modo, las empresas de prevención de riesgos se encargan de garantizar la seguridad y salud en el trabajo de los empleados de una empresa.

Al contrario que este tipo de prestadores de servicios, el DPD es la figura encargada de garantizar que la empresa solamente utiliza los datos personales de sus trabajadores en el marco de la relación laboral, y que no atenta contra su privacidad empleando sistemas especialmente invasivos como la geolocalización o la videovigilancia en el centro de trabajo7.

En este mismo sentido, su figura debe ser también claramente diferenciada de la de otros profesionales, con los que guarda un cierto parecido en la asunción de determinados roles, pero que a diferencia de ellos, desempeña y asume cometidos muy distintos (v.gr.: (i) consultores en protección de datos o en el ámbito de las tecnologías de la información o comunicación (TIC’s); (ii) CISO’s (Chief Information Securiry Officer); (iii) CPO (Chief Privacy Officer); (iv) CSO (Chief Security Officer); (v) CDO (Chief Data Officer); o, (vi) la figura del CIO (Chief Information Officer), etc.

Por el contrario, si debe tenerse presente que cada vez será más común que el puesto de DPD sea asumido dentro de su ámbito de competencias por el CO (Compliance Officer), al ser cada vez más global el papel del cumplimiento normativo dentro del ámbito de la empresa.

Martínez establece una más que interesante vinculación entre la figura y las funciones reconocidas al DPD, y los principios que deben determinar el funcionamiento de cualquier organización. Así, señala que el DPD debe asumir el cumplimiento de una serie de principios, que son los que detallan seguidamente, y que son los siguientes:

a) Debe transmitir verticalmente, desde el equipo directivo, al último de los trabajadores una idea de compromiso.

b) Debe diseñar una arquitectura de cumplimiento normativo que funcione sin fisuras. Esto obliga a comprometerse con un análisis riguroso y transparente del modelo de gestión, y su incidencia en el tratamiento de información personal.

c) Debe formar y comprometer a todo el personal, desde la dirección hasta el último de los colaboradores.