Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

d) Debe incorporar a sus procesos los aspectos básicos de la protección de datos desde el diseño y por defecto.

Y por esto, en este contexto, la figura del DPD ocupa un papel central como catalizador del conjunto de procesos indispensables para asegurar una adecuada implementación de las exigencias del reglamento (UE) 2016/679. En la práctica, este profesional no actúa contra su realización, ni siquiera le corresponde tomar decisiones operativas. Debe empaparse del contexto, conocer los procesos de negocio, y ofrecer soluciones funcionales8.

Por tanto, se puede afirmar que el DPD tiene como rol principal el asistir y asesorar al procesador con respecto al cumplimiento de la normativo vigente en materia de protección de datos personales y privacidad y, al mismo tiempo, asegurarse de la aplicación de las disposiciones dentro de la organización. Se le exige que mantenga un registro de todas las actividades de procesamiento por la que se involucren datos personales, realizadas por dicha persona jurídica, como responsable o encargado de tratamiento. En este registro se debe incluir aquella información explicativa sobre el propósito de las operaciones de procesamiento y debe ser accesible para cualquier persona legitimada para acceder a la misma9.

El DPD puede constituir un gran revulsivo en esta tarea de aplicar la nueva normativa sobre privacidad de una manera rigurosa y eficaz, y se puede afirmar que dicha figura, llegará a constituirse como el elemento central de este nuevo marco jurídico para muchas organizaciones, facilitando el cumplimiento de las disposiciones de la normativa vigente sobre protección de datos y privacidad.

Sin embargo, debe tenerse presente que la figura del DPD no es de nueva creación10. Su origen se encuentra ya en la citada Directiva 95/46/CE, con un diferente grado de aplicación en función de los diferentes países del ámbito comunitario, en los que en unos casos ha sido, de acuerdo con la legislación nacional o interna obligatoria su implantación, en otros casos, por el contrario, era de carácter facultativa, y finalmente en otros, no ha existido, como es el caso de España.

Esta diferencia en la normativa se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE. Es decir, en la trasposición a nivel interno de la normativa comunitaria, y más concretamente la citada Directiva 95/46/CE.

Ello está en consonancia de la disparidad de normativas legales de protección de datos, que auspició la citada Directiva 95/46/CE frente al Reglamento 2016/679, ya que si bien el contenido de una y otra norma comunitaria, en lo referente a los objetivos y principios siguen siendo comunes y válidos, ello no ha impedido que con la citada Directiva la protección de los datos en el territorio de la Unión Europea se aplicara de manera fragmentada o desigual, ni que existiera la percepción de inseguridad jurídica en la opinión pública, al entender que existían, y existen con toda probabilidad riesgos importantes para la protección de datos de las personas físicas, en particular en relación con las actividades en internet o en redes sociales.

Consecuentemente con ello, y en una aproximación al régimen de la protección de datos personales, debe tenerse en cuenta las diferencias que históricamente han existido en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos entre los diferentes Estados miembros, lo que ha constreñido la libre circulación de los datos de carácter personal en el ámbito territorial europeo.

Estas diferencias han venido a constituir, una limitación o un obstáculo en el ejercicio de las actividades económicas a nivel de la Unión Europea, provocando daños evidentes en la competencia, y al mismo tiempo, impidiendo que las autoridades comunitarias y nacionales cumplieran las funciones que les incumbían sobre la base de las atribuciones legales que les confería el derecho de la Unión Europea.

Frente a ello, se trata de alzar el nuevo Reglamento (UE) 2016/679, que tiene el valor de proporcionar un marco modernizado, basado en tres principios básicos: (i) el análisis o la evaluación de riegos; (ii) las medidas de responsabilidad proactiva; y, finalmente, (iii) la accountability o la obligación del responsable o encargado del tratamiento de la rendición de cuentas acerca de los tratamientos llevados a cabo o las decisiones adoptadas en el ámbito de la protección de datos de carácter personal11.

Por ello, es necesario que se proceda a garantizar en toda la Unión Europea, que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea.

En este contexto surge de manera efectiva la figura del DPD (DPD), la cual constituye el elemento central de nuevo marco jurídico para muchas organizaciones, propiciando y facilitando el cumplimiento de las disposiciones del citado Reglamento (UE) 2016/679.

Sobre la base de este nuevo contexto normativo, se determina que en algunos casos tipificados reglamentariamente que sea obligatorio para algunos responsables y encargados del tratamiento proceder a designar un DPD.2

Así será en el caso, por ejemplo, de todas las autoridades y de las Administraciones Públicas, y ello con independencia de qué sean tratados por las mismas, y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.

Incluso en algunos casos en los que el Reglamento 2016/679 no requiera específicamente el nombramiento de un DPD, las organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria. El Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE ha venido alentando a lo largo de los años la asunción por parte de estos operadores jurídicos la realización de estos esfuerzos voluntarios12.

Antes de la efectiva aplicación del Reglamento ((UE) 2016/679, el Grupo de Trabajo del artículo 29 argumentaba que el DPD es la piedra angular de la rendición de cuentas y que el nombramiento de un DPD puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.4 Además de facilitar el cumplimiento de numerosas obligaciones a las que vienen sujetos los responsables o encargados de tratamiento, tales como la aplicación de instrumentos de rendición de cuentas, o la de facilitar o llevar a cabo evaluaciones de impacto y auditorías de protección de datos, entre otras muchas.

No debe pasarse por alto, el importante papel que juegan los delegados de protección de datos, cuando actúan como intermediarios entre las autoridades de control y el responsable del tratamiento, o los titulares de los datos cuando formulan cualquier clase de reclamación frente a dicho responsable (ejercicio de derechos, infracciones a la normativa de protección de datos, bien sean muy graves, graves o leves), o cualquier otra circunstancia derivada de un cumplimiento irregular o ilícito de la normativa vigente en esta materia.

El nombramiento de un DPD es también obligatorio para las autoridades competentes en virtud del artículo 32 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89), y la legislación nacional de aplicación.