Servicio de Delegado de protección de datos

 

SERVICIO DE DPO/DPD EXTERNALIZADO.

Disponemos del reconocimiento a la cualificación profesional y las competencias requeridas de Delegado de protección de datos a través de la obtención de la Certificación ES2312969, en base al esquema de certificación de la Agencia Española de protección de datos DPD-AEPD.

¿Cuáles son los sujetos o entidades obligados al nombramiento y designación del delegado de protección de datos?

a)  Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)   Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j)  Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. 

m)  Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o)   Las federaciones deportivas cuando traten datos de menores de edad.

Según estable el Reglamento (UE) 2016/679 Del Parlamento Europeo de protección de datos en su artículo 37:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a)  el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c)  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Los responsables o encargados del tratamiento no incluidos en la relación anterior podrán designar de manera voluntaria un delegado de protección de datos.

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

¿Necesitas designar un delegado de protección de datos?

Como especial novedad en el Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos existe la obligación del nombramiento o la designación del delegado de protección de datos o también llamado DOP o  DPD, en inglés, “Data Protection Officer”. Esta figura será designada atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados del Derecho y la práctica en materia de Protección de datos. Dicha figura no es obligatoria para todas las organizaciones. El delegado de protección de datos asumirá las competencias de:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones en materia de protección de datos.

b) supervisar el cumplimiento de lo dispuesto en el Reglamento de protección de datos y otras disposiciones, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c)  ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

d) cooperar con la autoridad de control.

Preguntas frecuentes FAQS

A continuación, le indicamos cuales son preguntas frecuentes que se publican en  las Directrices sobre los delegados de protección de datos (DPO) del GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29 WP 243 así como en la Agencia Española de Protección de datos. Puedes consultarlas también en el siguiente ENLACE

¿Qué es un Delegado de Protección de Datos (DPO)?

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado.

El Delegado de Protección de Datos (DPD), debe nombrarse atendiendo a sus cualidades profesionales y en particular debe contar con conocimientos especializados del Derecho y práctica en protección de datos, no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.

Actúa de forma independiente y entre las funciones que se le atribuyen están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD. No obstante, el detalle de todas sus funciones está incluido artículo 39 del RGPD. Además, conviene precisar que el DPD puede ser personal interno o externo, persona física o persona jurídica. 

¿Qué significan los criterios "actividad principal", "observación sistemática" y "tratamiento a gran escala"?

Actividades principales

Actividades principales. Las "actividades principales" pueden considerarse como las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. No obstante, éstas no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento. Por ejemplo, el Grupo de Trabajo del artículo 29 dictamina que la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos debe considerarse una de las actividades principales de cualquier hospital y los hospitales deben, en consecuencia, designar un DPD.

Otro ejemplo sería el de una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y de espacios públicos. La vigilancia es la actividad principal de la empresa, que a su vez está ligada de manera indisociable al tratamiento de datos personales. Por tanto, esta empresa debe también designar un DPD.

Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo. Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad principal o el negocio principal de la organización. Aunque estas actividades son necesarias o esenciales, normalmente se consideran funciones auxiliares y no la actividad principal.

Observación habitual y sistemática

Observación habitual y sistemática. La noción de observación habitual y sistemática de interesados no está definida en el RGPD, pero el concepto de "observación del comportamiento de los interesados" se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad comportamental.

No obstante, el concepto de observación no se limita al entorno en línea y el seguimiento en línea debe considerarse solo un ejemplo de observación del comportamiento de los interesados. El Grupo de Trabajo del artículo 29 interpreta "habitual" con uno o más de los siguientes significados:

- continuado o que se produce a intervalos concretos durante un periodo concreto;

- recurrente o repetido en momentos prefijados;

- que tiene lugar de manera constante o periódica. Respecto a la interpretación "sistemático":

- que se produce de acuerdo con un sistema;

- preestablecido, organizado o metódico;

- que tiene lugar como parte de un plan general de recogida de datos;

- llevado a cabo como parte de una estrategia.

Ejemplos de actividades que pueden constituir una observación habitual y sistemática de interesados son: operar una red de telecomunicaciones; prestar servicios de telecomunicaciones; redireccionar correos electrónicos; actividades de mercadotecnia basadas en datos; elaborar de perfiles y otorgar puntuación con fines de evaluación de riesgos (p. ej. para determinar la calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero); llevar a cabo un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles; programas de fidelidad; publicidad comportamental; seguimiento de los datos de bienestar, estado físico y salud mediante dispositivos ponibles; televisión de circuito cerrado; dispositivos conectados, como contadores inteligentes, coches inteligentes, domótica, etc.

Gran escala

Gran escala. El RGPD tampoco define qué se entiende por tratamiento a gran escala, aunque el considerando 91 ofrece alguna orientación. De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo (según el Grupo de Trabajo del artículo 29), se desarrolle un método estándar para identificar en términos más específicos o cuantitativos dicho concepto. En cualquier caso, el citado Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

- el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

- el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

- la duración, o permanencia, de la actividad de tratamiento de datos;

- el alcance geográfico de la actividad de tratamiento. Como ejemplos de tratamiento a gran escala cabe citar:

- el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;

- el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);

- el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;

- el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;

- el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;

- el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Como casos que no constituyen tratamiento a gran escala cabe señalar:

- el tratamiento de datos de pacientes por parte de un solo médico;

- el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

¿Puede nombrarse un delegado de protección de datos sin ser obligatorio?

En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden proceder a nombrar un DPD. En todo caso, si se nombra un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39, como si el nombramiento hubiera sido obligatorio.

¿Quién nombra al delegado de protección de datos?

La propia organización.

El artículo 37 se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento con respecto a la designación de un delegado de protección de datos (DPD). En función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el responsable o solo el encargado deben designar un DPD, y en otros casos tanto el responsable como su encargado deben designar respectivos DPD (que deberán cooperar entre sí).

Es importante destacar que, aunque el responsable cumpla los criterios de designación obligatoria, su encargado no está necesariamente obligado a nombrar un DPD. No obstante, puede ser una práctica recomendable.

¿Puede existir un único delegado de protección de datos para varios responsables?

Sí. El artículo 37, apartado 2, del RGPD permite a un grupo empresarial designar un único delegado de protección de datos (DPD), siempre que este "sea fácilmente accesible desde cada establecimiento".

La noción de accesibilidad se refiere a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la organización, teniendo en cuenta que una de esas tareas es "informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento".

Con el fin de garantizar que el DPD, ya sea interno o externo, sea accesible, es importante asegurarse de que sus datos de contacto están disponibles de conformidad con los requisitos del RGPD. El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control. Esto significa también que dicha comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de control y los interesados afectados.

La disponibilidad de un DPD (ya sea físicamente en las mismas instalaciones como empleado, ya sea en línea o mediante otros medios seguros de comunicación) es fundamental para garantizar que los interesados puedan contactar con el DPD.

¿Puede existir un único delegado de protección de datos en el caso de autoridades u organismos públicos?

Sí. De conformidad con el artículo 37, apartado 3, se podrá designar un único delegado de protección de datos (DPD) para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y tamaño.

Las mismas consideraciones se aplican con respecto a los recursos y las comunicaciones. Puesto que el DPD se encarga de una variedad de tareas, el responsable o el encargado del tratamiento deben garantizar que un único DPD, con la ayuda de un equipo si fuera necesario, pueda realizar dichas tareas eficazmente a pesar de haber sido designado por varias autoridades y organismos públicos.

El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control. Esto significa también que dicha comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de control y los interesados afectados.

La disponibilidad de un DPD (ya sea físicamente en las mismas instalaciones como empleado, ya sea en línea o mediante otros medios seguros de comunicación) es fundamental para garantizar que los interesados puedan contactar con el DPD.

¿El delegado de protección de datos puede ser externo a la organización?

Sí. La función del delegado de protección de datos (DPD) puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.

En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de intereses.

Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.

Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz. El Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección de Datos) ha dictaminado que, en aras de la claridad jurídica y a la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona "a cargo" de cada cliente. Sería también útil, en general, especificar estos puntos en el contrato de servicios.

¿Debe comunicarse el nombramiento de delegados de protección de datos a la AEPD?

Si. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

El registro de delegados de protección de datos

La Agencia ha dispuesto un espacio en su Sede electrónica para que cualquier interesado pueda consultar la lista de delegados de protección de datos comunicados a la AEPD

Este espacio de consulta, disponible en la Sede electrónica de la Agencia, permite a cualquier interesado conocer el contacto de los delegados de protección de datos comunicados a la AEPD. De esta forma, los ciudadanos que quieran ejercitar sus derechos o presentar una reclamación ante una entidad pueden introducir el nombre, razón social o NIF de la organización para conocer los datos de contacto del DPD y dirigirle sus solicitudes. 

Puede consultar AQUÍ dicho registro.

La información que se hace pública en dicha lista se corresponde con los datos de contacto que el responsable o encargado del tratamiento ha facilitado en el formulario de comunicación previsto al efecto en la Sede Electrónica de la AEPD.

¿Es independiente el delegado de protección de datos en el ejercicio de sus funciones?

El artículo 38, apartado 3, del RGPD establece algunas garantías básicas que contribuyen a asegurar que los delegados de protección de datos (DPD) puedan realizar sus tareas con el suficiente grado de autonomía dentro de su organización. En particular, los responsables o encargados del tratamiento están obligados a garantizar que el DPD "no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones".

El considerando 97 añade que los DPD «sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente». Esto significa que, en el desempeño de sus tareas con arreglo al artículo 39, no debe instruirse a los DPD sobre cómo abordar un asunto, por ejemplo qué resultado debería lograrse, cómo investigar una queja o si se debe consultar a la autoridad de control. Asimismo, no se les debe instruir para que adopten una determinada postura con respecto a un asunto relacionado con la ley de protección de datos, por ejemplo, una interpretación concreta de la ley.

No obstante, la autonomía de los DPD no significa que tengan poder para adoptar decisiones más allá de sus funciones.

¿Cuál es la posición del delegado de protección de datos en una organización?

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos (DPD) "participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales".

Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos (de manera especial, en relación con las evaluaciones de impacto).

Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos), en consecuencia, la organización debe garantizar, por ejemplo, que:

- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.

- Que esté presente cuando se toman decisiones con implicaciones para la protección de datos (recordando que toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado).

- Su opinión debe tenerse siempre debidamente en cuenta (en caso de desacuerdo, como buena práctica, es conveniente documentar los motivos por los que no se sigue el consejo del DPD).

- Su consulta al DPD con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente. 

Cuando sea pertinente, el responsable o el encargado del tratamiento podría elaborar directrices o programas sobre la protección de datos que determinen cuándo debe consultarse al DPD.

Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.

En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto.

¿De qué medios puede disponer un delegado de protección de datos?

Los medios han de ser suficientes para desarrollar su labor de forma efectiva.

En relación con el apoyo a su labor (con tal autonomía en el ejercicio de sus funciones y relacionándose con el nivel superior de la dirección) es obligatorio que el responsable del tratamiento facilite al DPD todos los recursos necesarios para desarrollar su actividad.

El artículo 38, apartado 2, del RGPD prevé que la organización respalde a su DPD "facilitando los recursos necesarios para el desempeño de [sus] funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados".

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos) deben tenerse en cuenta, en especial, los siguientes aspectos:

- Apoyo activo a la labor del DPD por parte de la alta dirección (al nivel del consejo de administración).

- Tiempo suficiente para que el DPD cumpla con sus funciones (lo cual es particularmente importante cuando se designa un DPD interno a tiempo parcial o cuando el DPD externo lleva a cabo la protección de datos de manera complementaria a otras obligaciones), y así evitar el conflicto entre prioridades, que podría dar lugar al descuido de las obligaciones del DPD.

- Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.

- Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.

- Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.

- Formación continua.

- En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros.

 En general, cuanto más complejas o sensibles sean las operaciones de tratamiento, más recursos deberán destinarse al DPD. La función de protección de datos debe desempeñarse con eficacia y dotarse con los recursos suficientes para el tratamiento que se esté realizando.

¿Cuál es la responsabilidad de un delegado de protección de datos?

Los delegados de protección de datos (DPD) no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD deja claro que es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones (artículo 24, apartado 1). El cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento. Por ello, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.

La función del DPD de supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia.

El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar "medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento" (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.

En definitiva, el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.

¿Debe el DPD realizar el análisis de riesgo?

El artículo 39, apartado 2, del RGPD requiere que el delegado de protección de datos (DPD) desempeñe sus funciones "prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento".

Dicho artículo recuerda un principio general (y de sentido común para el Grupo de Trabajo del artículo 29, actual Comité Europeo de Protección Datos), que puede ser pertinente para muchos aspectos del trabajo diario de un DPD, a saber: que éstos establezcan prioridades en lo que respecta a sus actividades y centren sus esfuerzos en las cuestiones que presenten mayores riesgos para la protección de datos. Esto no significa que deban desatender la supervisión de la observancia de las normas en las operaciones de tratamiento de datos que tengan comparativamente menos riesgos, sino que deben centrarse principalmente en los ámbitos de mayor riesgo.

Este enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

En resumen, la obligación de llevar a cabo el análisis de riesgos es del responsable y la función del DPD es asesorar al responsable en el cumplimiento de las obligaciones derivadas del RGPD pero el responsable podría disponer que una de las tareas de su DPD fuera la llevanza de los análisis de riesgos en protección de datos.

¿Cuál es el papel del delegado de protección de datos en una evaluación de impacto?

De conformidad con el artículo 35, apartado 1, del RGPD es labor del responsable del tratamiento y no del delegado de protección de datos (DPD) realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento de datos.

No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento "recabará el asesoramiento" del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de "ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35".

El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

- si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;

- qué metodología debe seguirse al llevar a cabo una evaluación de impacto;

- si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;

- qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.

¿Qué papel juega un delegado de protección de datos en el mantenimiento del registro de actividades?

En virtud del artículo 30, apartados 1 y 2, del RGPD es el responsable o el encargado del tratamiento, y no el delegado de protección de datos (DPD), quien está obligado a llevar "un registro de las actividades de tratamiento efectuadas bajo su responsabilidad" o a mantener "un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable".

En la práctica, puede llegar a ser frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización.

Esta práctica se ha establecido en virtud de muchas legislaciones nacionales vigentes y de las normas sobre protección de datos aplicables a las instituciones y organismos de la UE. El artículo 39, apartado 1, establece una lista de tareas mínimas de que debe encargarse el DPD.

Por lo tanto, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro, como medida efectiva de rendición de cuentas, debe considerarse una de las herramientas que permitan al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.