Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

Cfr.: SANCHEZ ORS, Carme. “El delegado de protección de datos: Guardián de la privacidad”, en “El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos. Editorial Wolters Kluwer. Madrid 2018.

6Cfr.: DIAZ DIAZ, Efrén. “El «Data Protection Officer» (DPD) en el nuevo Reglamento General de Protección de Datos”. El Derecho.com. 25 de abril de 2016.

https://elderecho.com/el-data-protection-officer-DPD-en-el-nuevo-reglamento-general-de-proteccion-de-datos

7Vid. Ayuda ley y protección de datos.

https://ayudaleyprotecciondatos.es/delegado-de-proteccion-de-datos/

8MARTÍNEZ MARTÍNEZ, RICARD. “El delegado de protección de datos”. Tratado de Protección de Datos. Dirigido por Artemi Rallo Lombarte. Editorial Tirant Lo Blanch. Valencia 2019.

9Vid. EU GDPR COMPLIANT. ¿Qué es un DPD?

https://eugdprcompliant.com/es/que-es-un-DPD/

10En este sentido, el Considerando 10, del Reglamento (UE) 2016/679.

11En este sentido, el Considerando 9º, del Reglamento (UE) 2016/679.

12Cfr.: WP 243/2016. Directrices sobre los delegados de protección de datos (DELEGADO DE PROTECCIÓN DE DATOS) del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE. Adoptadas el 13 de diciembre de 2016, y revisadas y adoptadas el 5 de abril de 2017.

En este sentido debe tenerse presente que las referencias normativas contenidas en las citadas referencias normativas contenidas en la indicada WP 243 del Grupo de Trabajo del Artículo 29, en su versión de 5 de abril de 2017, ha sido ratificada en cuanto a su contenido por el nuevo órgano comunitario que ha venido a sustituir a dicho Grupo de Trabajo, esto es el llamado “European Data Protection Board (“EDPB”)

Cfr.: wp243rev01-es.pdf

13Cfr.: RIVERO, Marina. ¿Estás Obligado a contratar un delegado de protección de datos? Infoautónomos. El Economista. 3 de mayo de 2018.

https://infoautonomos.eleconomista.es/blog/contratar-un-delegado-de-proteccion-de-datos/

14Cfr. Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE. WP 143.

15Artículo 32. 1º del Reglamento (UE) 2016/679 sobre seguridad del tratamiento:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales.

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

16Los artículos 32 a 36 del Reglamento (UE) 679/2016, versan respectivamente sobre las siguientes materias:

a). La seguridad del tratamiento (artículo 32).

b). La notificación de una violación de la seguridad de los datos personales a la autoridad de control (artículo 33)

c). La comunicación de una violación de la seguridad de los datos personales al interesado (artículo 34).

d). La evaluación de impacto relativa a la protección de datos (artículo 35).

e). Y la consulta previa (artículo 36).

Capítulo II

La posición del DPD y su designación

1. La designación obligatoria de un DPD

Como punto de partida con relación a la designación obligatoria o no de un DPD, debe partirse de los dos principios esenciales que enmarcan a la nueva normativa sobre protección de datos y privacidad, que son la llamada “responsabilidad proactiva” tanto del responsable como del encargado de tratamiento, y el enfoque de cualquier decisión llevada a cabo sobre un análisis de riesgo.

Por ello, con independencia de aquellos supuestos que se establezca como obligatorios para el nombramiento de un DPD en el Reglamento (UE) 2016/679, siempre que dichos operadores jurídicos entiendan que es imprescindible el nombramiento de un DPD amparado en los análisis de riesgos o en la necesidad de tomar decisiones pro activas para el mejor fin de los tratamientos que se estén llevando a cabo o se piensen en implementar en un futuro, debe ser la primera razón de obligatoriedad que determine la procedencia del nombramiento de un DPD.

No obstante, ello, con relación a la designación obligatoria del DPD, y partiendo del contenido de los dispuesto en el apartado 1º del artículo 37 del Reglamento 2016/679, por el que se requiere inicialmente la designación de un DPD, en tres supuestos específicos y determinados, que son los siguientes:

a) Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.

b) Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.

c) Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Cada organización debe empezar por documentar el proceso por el que se decide el nombramiento de un DPD, determinando en dicho expediente todas las circunstancias que han determinado la decisión de nombramiento del mismo, de acuerdo con las necesidades, la estructura y el volumen de sus tratamientos.

Por el contrario, a menos que resulte obvio que a una organización no se le requiera legalmente a que proceda a la designación de un DPD, el Grupo de Trabajo del artículo 29 recomienda que los responsables y encargados del tratamiento, también procedan a justificar documentalmente el análisis interno realizado para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes que concurren en dicha organización.

Debe tenerse presente que esta exigencia procede de la obligación de llevar a cabo por parte del responsable o encargado de tratamiento de la rendición de cuentas o la accountability.

Puede ser exigido por la autoridad de control y debe actualizarse cuando sea necesario, por ejemplo, si los responsables o los encargados del tratamiento llevan a cabo nuevas actividades o prestan servicios nuevos que puedan incluirse en los casos enumerados en el citado apartado 1º del artículo 37, del Reglamento (UE) 2016/679.

Cuando una organización designe un DPD, de manera voluntaria, es decir, en aquellos supuestos en los que no sea obligatorio reglamentariamente proceder a dicho nombramiento, se aplicarán al proceso de dicha designación, su puesto y sus funciones o tareas los requisitos establecidos en los artículos 37 a 39 del Reglamento (UE) 2016/679, como si el nombramiento hubiera sido obligatorio de acuerdo con dicha normativa comunitaria.

Esto supone a la postre, que el régimen jurídico del DPD sea de designación obligatoria, lo sea por designación puramente voluntaria del responsable o del encargado del tratamiento, está sujeto a la misma normativa con idénticos condicionamientos jurídicos en todos los aspectos que le competan, sin excepción alguna como consecuencia del origen de dicha designación.

A contrario sensu, nada impide a una organización que legalmente no viene obligada a efectuar dicha designación, precisamente, a no designar un DPD para dicha organización, ya que, en tales supuestos, tal nombramiento tiene un carácter puramente facultativo y voluntario para dicho responsable o encargado de tratamiento, sin que se encuentren, consecuentemente con ello, previstas consecuencias jurídicas para dicho supuesto.