A finales de enero tuvo lugar en Madrid el primer congreso de Delegados de Protección de Datos.
Se levantó mucha expectación ante el deseado evento que reunió a los mayores expertos nacionales en protección de datos. Un evento que pretendía arrojar luz y compartir conocimientos en torno a la protección de datos. Una normativa que en este 2018 ha supuesto un antes y un después en el país. Una normativa que cada vez está más presente en la conciencia de empresas, ciudadanos y empresarios. Sin embargo, es todavía una normativa reciente, cuyo Reglamento de Desarrollo tardará años en desarrollarse y por tanto se abre una línea jurisprudencial ante conflictos y procesos sancionadores.
Grupo LAE quiso estar presente y conocer de primera mano un evento que trajo grandes reflexiones y un ambiente constructivo entorno a la privacidad y a la protección de datos.
En el foco principal la figura del DPO. Un rara avis cuyo reciente ordenamiento trae muchas dudas en torno a sus funciones, recogidas en el artículo 39 y que, de forma muy sencilla englobamos en informar, asesorar y supervisar todos los procesos y decisiones de una organización en lo que al tratamiento de datos personales hace referencia.
Los Delegados de Protección de Datos (del inglés DPO, Data Protection Officer) son una figura cuyo nombramiento es obligatorio para empresas que basen su actividad en el tratamiento a gran escala de datos, administraciones públicas y aquellas empresas que desarrollen perfiles de consumo y de usuarios.
Sin embargo, la reciente aprobación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (en adelante LOPD-GDD) incluye en su artículo 34.1 algunos sectores de actividad que están explícitamente obligados a su nombramiento. En estos sectores destacamos, por habituales, los siguientes:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Las entidades responsables de ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo (asesores fiscales, contables, auditores de cuentas y empresas de intermediación inmobiliaria entre otros).
- Las federaciones deportivas cuando traten datos de menores de edad.
El nombramiento del DPO en la Agencia Española de Protección de Datos.
¿Debe ser un cargo interno o externo?
Uno de los debates más repetidos en torno a la figura del DPO fue si éste debía nombrarse externamente o podía asumir algún trabajador esta función y responsabilidad.
En GRUPO LAE opinamos que un nombramiento externo, desde luego, supone un añadido de independencia muy necesario. Una independencia jerárquica, legislada precisamente en el art. 38.3 del RGPD. Las empresas difícilmente podrán encontrar esta característica en un trabajador interno que, casi con total probabilidad, dependerá de la propiedad de la empresa y sus decisiones estarán por tanto condicionadas.
Es precisamente esta obligación la que, en palabras de Mar España, directora general de la Agencia Española de Protección de Datos, se irá revisando ya que son pocas las empresas con obligación de nombramiento, las que efectivamente lo han hecho en la Agencia.
Grupo LAE permite a sus clientes cumplir con el nombramiento y así externalizar esta figura tan importante y necesaria en muchos sectores de actividad.