¿Está mi empresa obligada a tener un Delegado de Protección de Datos?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (Reglamento general de protección de datos), cuya entrada en vigor está prevista el 25 de mayo de 2018, coloca a los delegados de la protección de datos (o también conocidos como DPD) como elemento nuclear en el cumplimiento de la normativa de protección de datos para muchas empresas.

Ya sean pymes, grandes empresas o instituciones públicas todas deben analizar si deben tener un delegado de protección de datos en su organización.

En este artículo pretendemos, aclarar qué empresas están obligadas a designar un Delegado de Protección de Datos y qué aspectos deben tenerse en cuenta a la hora de elegirlo.

¿Quiénes están obligados a tener un Delegado de Protección de Datos?

Según el Reglamento General de Protección de Datos están obligados a tener un Delegado de Protección de Datos las entidades que se encuentren dentro de las siguientes definiciones:

• Todas las autoridades y organismos públicos (con independencia de los datos que procesen).

• Empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, 

• Empresas o entidades que procesen categorías especiales de datos personales a gran escala. Esto es datos personales especiales son aquellos que revelen la afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud.

• Los proveedores de servicios que accedan a datos personales (encargados del tratamiento) y que cumplan cualquiera de los puntos anteriores.

Después de leer estas definiciones es probable que se generen más dudas sobre el significado de alguna de las palabras utilizadas en cada una de las definiciones.

Para ello os damos algunas pautas para poder determinar con mayor claridad cuando una Entidad (ya sea una sociedad mercantil, profesional, asociación, fundación o incluso un autónomo) está obligada a designar un DPD:

1. ¿Qué significa « actividades principales »?

Las «actividades principales» pueden considerarse  las operaciones clave necesarias para lograr los objetivos de la Entidad.

Por ejemplo una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y espacios públicos. La vigilancia es la actividad principal de la empresa y, a su vez, está intrínsecamente ligada al tratamiento de datos personales. Por lo tanto, esta empresa debe designar un DPD.

2. ¿Qué significa « a gran escala »?

Debe entenderse por « a gran escala »  el procesar una cantidad considerable de datos personales, que pudiera afectar a un gran número de personas. No obstante, el Reglamento Europeo de Protección de Datos no establece una cifra exacta ya sea en relación a la cantidad de datos procesados como el número de personas afectadas.

En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores, en especial, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:

• El número de interesados (personas afectadas por el tratamiento) involucrados —bien como cifra concreta o como proporción de la población correspondiente—.
• El volumen de datos o el abanico de diferentes conceptos de datos que se procesan.
• La duración, o permanencia, de la actividad de tratamiento de datos.
• El alcance geográfico de la actividad de tratamiento.

Serían tratamientos a gran escala:

• tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet.

• tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda.

• tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte)

• tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios.

• tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco

3  ¿Qué significa  « seguimiento regular y sistemático »?

Debemos entender que « el seguimiento regular y sistemático » incluye cualquier forma de creación de perfiles en Internet, incluso a los solos efectos de la publicidad basada en el comportamiento.

Por supuesto que el concepto  “de seguimiento” no está limitado al entorno on-line que solo debe considerarse un ejemplo de seguimiento del comportamiento de los interesados.

Un seguimiento regular y sistemático incluye:

• Que se produzca a intervalos concretos durante un periodo concreto
• Recurrente o repetido en momentos prefijados
• Que se produce de forma constante o periódica
• Que se produce de acuerdo con un sistema
• Preestablecido, organizado o metódico
• Que tiene lugar como parte de un plan general de recogida de datos
• Llevado a cabo como parte de una estrategia

Algunos ejemplos de “seguimiento regular y sistemático” serían:

1. Prestar servicios de telecomunicaciones;
2. Redireccionar correo electrónico;
3. Creación de perfiles y puntuación con fines de evaluación de riesgos
4. Seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles
5. Programas de fidelización
6. Publicidad basada en el comportamiento
7. Seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles

Una vez ya hemos podido evaluar si la Compañía está obligada a designar un Delegado de Protección de Datos, nos queda la ardua tarea de conocer el perfil profesional que debe tener el DPO y sus obligaciones y funciones en el cargo:

¿Qué cualificación profesional debe tener el Delegado de Protección de Datos?

El delegado de protección de datos debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su experiencia  para desempeñar esta función.

Por tanto el DPD debe tener una comprensión profunda de la normativa en materia de protección de datos.

¿El Delegado de Protección de Datos debe tener alguna certificación o acreditación?

No será necesaria tener ninguna certificación como DPO. No obstante, indicar que la Agencia Española de Protección de Datos está impulsando un programa para certificar a Delegados de Protección de Datos en España.

Funciones del Delegado de Protección de Datos. ¿Cuáles son sus tareas?

Deberá controlar el cumplimiento de la normativa de protección de datos en la Empresa.

Sin olvidar que el cumplimiento de la normativa de protección de datos es responsabilidad de la Compañía y no del DPD, el Reglamento encomienda al Delegado de Protección de Datos las siguientes funciones de control:

• Recabar información para determinar las actividades de tratamiento
• Analizar y comprobar la conformidad de las actividades de tratamiento
• Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
• Asesorar a la Compañía cuando se lleve a cabo una evaluación de impacto de la protección de datos.

Otras características que debe tener el Delegado de Protección de Datos.

El DPO estará obligado a mantener el secreto documental y confidencialidad en relación con el desempeño de sus tareas, de acuerdo con el Derecho de la Unión Europea o de los Estados miembros, además deberá tener probada accesibilidad. Es decir, debe estar disponible para los interesados, para la Agencia Española de Protección de Datos y lógicamente accesible para la organización que lo ha nombrado.

Y por último, no podemos obviar que el DPO deberá tener sentido de la responsabilidad, ser conocedor del sector empresarial y aplicar, el menos común de los sentidos, el sentido común.