Delegado de Proteccion de Datos

[pic 1][pic 2]

[pic 3]

[pic 4]

Tabla de contenido

Introducción.        2

La figura del Delegado de Protección de Datos.        3

Normativa del RGPD en el ámbito empresarial y gubernamental.        4

Conocimientos y habilidades del DPD.        6

Funciones establecidas en el Reglamento.        7

Posición de un DPD.        9

Sujetos afines a un DPD.        10

Conclusiones.        10

Introducción.

A lo largo de este trabajo se pretende aclarar las dudas pertinentes a la nueva figura instaurada en el Reglamento General de Protección de Datos, el Delegado de Protección de Datos, establecer los campos de trabajo de esta figura de protección en los ámbitos gubernamentales y privados; la posición en la que se encuentra en relación con el reglamento las funciones atribuidas por el reglamento y finalmente las figuras de protección de datos afines a este.

Primeramente, se establece que el concepto de Delegado de Protección de Datos fue creado en 1995 por la Directiva 95/46/CE, esta directiva proporcionaba unos matices muy particulares respecto a esta figura, pues, cada país tenía la capacidad de regular a esta figura de manera general y prácticamente sin ninguna norma. Sin embargo, el gran aporte que se pudo apreciar de este delegado en la Unión Europea con respecto a la protección de datos hizo que organismos internacionales propusieran la inscripción de esta figura en el Reglamento General de Protección de Datos, la cual entro en vigor el año 2016.

Posteriormente, en mencionado Reglamento se establecen las situaciones, en las cuales organismos privados como públicos se encontrarían en la obligación de contratar un delegado de protección de datos, este precepto se plasmó en el artículo 37 del Reglamento General de Protección de Datos.

Seguidamente, en este trabajo se detalla la posición correcta en la que se debe situar al delegado de protección de datos dentro de la jerarquía organizacional de las entidades públicas como privadas, además, del riesgo del desempeño de sus funciones y la obligación de notificar las irregularidades de la entidad en la que trabaje a la dirección de esta misma.

Por último, se encuentran las figuras afines al delegado como el responsable y el encargado del tratamiento de datos personales, quienes, a pesar de tener una función en común, estos desempeñan su trabajo de distintas formas, el responsable del tratamiento es el director, quien toma las decisiones respectivas a la manipulación de los datos persones, mientras que el encargado es un individuo u organismo que desempeña el manejo de los datos personales.

La figura del Delegado de Protección de Datos.

Es posible instituir como base a la Carta de los Derecho Fundamentales de la Unión Europea, específicamente a el artículo 8,1 que establece que “toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan”, en el mismo sentido se puede establecer una relación con el Reglamento General de Protección de Datos (en adelante, RGPD) de la Unión Europea, la cual, inició su aplicación el pasado 25 de mayo del presente año. Este reglamento presenta la necesidad de que se reconozcan poderes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal. Por lo tanto, una de las medidas introducidas por el RGPD es la instauración del Delegado de Protección de Datos (en adelante, DPD).

El inicio de esta figura se instaura el 24 de octubre de 19995, cuando se aprueba la Directiva 95/46/CE en la que ya se preveía de manera muy parcial la figura del DPD en el artículo 18 apartado segundo, sin embargo, la aplicación de este artículo por parte de los miembros de la Unión Europea tales como Alemania, Francia y Holanda, tuvo una regulación muy dispar, pues estos países tenían la facultad de regular la figura del DPD con sus propios términos, lo que conllevaba, a un inestabilidad en la protección de datos.

Pero, tras verse la efectividad de esta medida de protección la Confederación de Organizaciones Europeas de Protección de Datos (en adelante, CEDPD), con la Comisión Europea y el Grupo de Trabajo de Articulo 29, propusieron implementar la actual regulación del DPD, la que se plasmó en la Sección Cuarta del RGPD denominado como “Delegado de Protección de Datos”, esta medida fue aplicada de manera general en la Unión Europea el 24 de mayo de 2016 que entró en vigor y que no estuvo sujeto a aplicación hasta el 25 de mayo de 2018.

Con el objetivo de matizar la actuación del DPD, se puede señalar lo dispuesto en el considerando 97 del RGPD, el delegado puede ser definido como un supervisor que ayuda al encargado o responsable de tratamiento con el objetivo de cumplimentar el reglamento exigido legalmente, por lo tanto, se puede citar lo siguiente:

«Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales»

De esta manera, queda aclarada la figura del DPD, pues, se consideran ambos espacios de trabajo, primeramente, el desempeño laboral en los organismos públicos y posteriormente, el sector privado, por lo tanto, solo queda establecer el campo de actuación del DPD.

 Normativa del RGPD en el ámbito empresarial y gubernamental.

Dentro del RGPD se incorpora las supuestos de actuación del DPD, específicamente en la Sección Cuarta, contemplando primeramente los artículos 37 a 39 que se establecen como las características y funciones de esta figura, seguido de los artículos 40 y 41 donde se reglamenta los códigos de conducta y, por último, los artículos 42 y 43 donde se plasman los requisitos y las entidades que certifican a los DPD.

 El primer concepto sobre la actuación del DPD, consiste en que esta figura no será obligatoria para todas los encargados o responsables del tratamiento de datos, por consiguiente, el artículo 37.1 del RGPD establece claramente los supuestos en los que será de obligado cumplimiento:

 «El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o 

 las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el Art. 10. »

En el primer apartado del precepto queda totalmente claro, ya que se refiere a un organismo público y no hay mayor explicación, sin embargo, los dos últimos apartados no quedan totalmente precisados por el RGPD. Por lo tanto, ha de hacerse una matización los dos últimos apartados de este precepto; entonces, haciendo referencia a el apartado segundo del artículo 37, éste toma un aspecto de edicto para quienes están sujetos al “tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo es esta misma”; por consiguiente, el RGPD instaura la figura del DPD dentro del ámbito privado siempre que resulte necesario, sin embargo, más adelante se verá que puede ser, de igual manera, voluntario. Entonces, esta figura será capaz de tener una relación comercial o laboral con el responsable o encargado del tratamiento de datos.

Sin embargo, es necesario mencionar que los especialistas en la materia de protección de datos señalaron que la contratación externa de una figura como es el DPD dependerá de las características de la organización, además, de las características de los datos que vayan a ser manipulados, al igual que el tratamiento exigido para cada uno de estos casos.

Seguidamente, es inevitable eludir a qué se hace mención cuando se habla de “datos a gran escala^[1]”, pues no consiste solamente en la manipulación de datos de manera general, pues, aquí influye no solo el volumen o el número de este, sino también el alcance geográfico y el tiempo de permanencia de estos datos por la empresa.

...