Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

Ello no quita, por ejemplo, para que dicha organización pueda proceder al nombramiento interno o externos en materia de protección de datos, sea de manera eventual o de forma permanente, sin que, en tal caso, dicha persona u organización asuma formalmente la condición de DPD.

En este caso, si es importante y recomendable asegurarse de que no haya confusión posible con respecto a su cargo, estatus, puesto y tareas. Por ello, debe quedar claro, en cualquier comunicación dentro de la empresa, así como con las autoridades de protección de datos, los interesados y el público en general, que el título de esta persona o asesor no ostenta la condición de DPD.

La designación de un DPD ya tenga carácter obligatorio sobre la base de la normativa vigente, o, puramente voluntario, se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento.

Seguidamente, es procedente analizar cada uno de los supuestos, donde el nombramiento de un DPD se hace obligatorio.

A. El primer supuesto reglamentariamente previsto, es el que hace referencia a que el tratamiento sea llevado a cabo o efectuado por una autoridad u organismo público.

Si seguimos la definición del Diccionario de la Lengua, la autoridad es: “la potestad, facultad, o poder que tiene una persona sobre otra que le está subordinada. Persona revestida de algún poder o mando.”

La autoridad suele estar asociada al concepto de Estadocomo depositario de los poderes públicos. Es el órgano de gobierno con facilidades de decisión o de ejecución para emisión de actos Administrativos imperativos, unilaterales y coercitivos, encaminados a lograr el cumplimiento de la ley o funciones de las instituciones en tanto que, si no se cumplen voluntariamente, son susceptibles de imponerse por el uso de la fuerza pública.

Así, lo funcionarios públicos con independencia de la administración a la que pertenezcan pueden estar revestidos del concepto de “autoridad”, en el sentido de que tienen la facultad de mandar y dar órdenes, que deben ser acatadas siempre que actúen de acuerdo con las leyes y normas vigentes.

El conceptode autoridada efectospenales viene recogido en el artículo24.1º del Código Penal, que establece:

“A los efectospenales se reputará autoridadal que por sí solo o como miembro de alguna corporación, Tribunalu órgano colegiadotenga mando o ejerza jurisdicción propia. En todo caso, tendrán la consideración de autoridadeslos miembros del Congreso de los Diputados, del Senado, de las Asamblea legislativa de comunidad autónomay del Parlamento Europeo. Se reputarán también autoridades los miembros del MinisterioFiscal”.

Los organismos públicos, por el contrario, son entidades de derecho público con personalidad jurídica propia vinculadas o dependientes de las Administraciones Públicasque tienen por objeto realizar actividades de ejecución o gestión reservadas a la Administración.

Estos organismos públicos pueden encontrarse en situación de dependencia o vinculados a la Administración General del Estado, bien directamente o bien a través de otro organismo público, los creados para la realización de actividades administrativas, sean de fomento, prestación o de gestión de servicios públicos o de producción de bienes de interés público susceptibles de contraprestación; actividades de contenido económico reservadas a las Administraciones Públicas; así como la supervisión o regulación de sectores económicos, y cuyas características justifiquen su organización en régimen de descentralización funcional o de independencia17.

El Reglamento (UE) 2016/679 no ha definido qué constituye efectivamente a los efectos de la protección de datos de carácter una “autoridad o un organismo público”. Por ello, el Grupo de Trabajo del artículo 2918 considera que dicha noción debe determinarse en virtud del Derecho nacional. Por consiguiente, desde esta perspectiva las menciones que se hacen en el citado Reglamento Comunitario de las “autoridades y organismos públicos” incluyen implícitamente a las autoridades nacionales, regionales y locales, pero además dichos conceptos, deben ser determinados siempre con arreglo a la legislación nacional aplicable, abarcando normalmente a cualquier clase de organismos regidos por el fundamentalmente por el derecho público.

No obstante, ello, debe tenerse presente, que los Juzgados y Tribunales que actúen en el ejercicio de su función jurisdiccional, están expresamente excluidos de esta obligación de nombrar a un DPD establecida al amparo del citado apartado 1º del artículo 37 del Reglamento (UE) 2016/679.

Al hilo de todo ello, y tal como señala el Grupo de Trabajo del artículo 29, una labor pública puede llevarse a cabo, y la autoridad pública puede ser ejercida, no solo por las autoridades y organismos públicos en el sentido estricto del término, sino también por otras personas físicas o jurídicas regidas por el derecho público o privado, como puede ser por ejemplo el supuesto de la “concesión administrativa”, en aquellos sectores en los que la legislación o la normativa nacional de cada país lo posibilite, citándose como casos más frecuentes a estos efectos los siguientes:

i. Los servicios de transporte público.

ii. El suministro de agua y energía.

iii. Las infraestructuras viarias.

iv. La radiodifusión pública.

v. La vivienda pública.

vi. Los órganos disciplinarios de las profesiones reguladas, entre otros supuestos.

En este sentido se señala, que los interesados pueden encontrarse jurídicamente estar en una situación muy similar a la que se produce cuando una autoridad u organismo efectivamente en el ejercicio de sus competencias de naturaleza pública, lleva a cabo el tratamiento de sus datos personales.

Consecuentemente con ello, se indica que la presencia del DPD ante este tipo de personas jurídicas que ejercen funciones de naturaleza pública, pero que pueden tener una estructura completamente privada, es especialmente importante y además útil el que hayan procedido a designar de manera obligatoria un DPD, ya que debe tenerse en cuenta que en estos supuestos, los datos pueden tratarse para fines muy dispares, y los titulares de los mismos suelen tener un escaso o nulo poder de decisión y de disposición acerca de su datos de carácter personal, especialmente si los mismos son tratados, y sobre las circunstancias que rodean a dicho tratamiento.

Aunque no existe obligación en tales casos, el Grupo de Trabajo del artículo 29 recomienda como buena práctica que las organizaciones privadas que llevan a cabo una función pública o ejercen autoridad procedan a designar un DPD.

En esta designación obligatoria del DPD, debe tener presentes que la actividad desempeñada por el mismo comprende todas las operaciones de tratamiento que se lleven a cabo, y ello también incluye dentro de las desarrolladas por dicha persona jurídica, aunque sea privada, aquellas que no se encuentren relacionadas con el desempeño de una función pública, o el ejercicio de una autoridad pública, pero sí que respondan a la actividad propia de un responsable o encargado de tratamiento.

B. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.

Dentro del análisis de este apartado, se debe proceder al análisis de diversos conceptos, que se han juzgado como esenciales para poder comprender adecuadamente el alcance y el significado de este precepto, y que son los siguientes:

b.1). El concepto de “actividades principales”.

Dicho concepto de “actividades principales” se refiere tanto a la actividad desarrollada tanto por el responsable como por el encargado del tratamiento.