TOOLS - DPO-AEPD

Vaya al Contenido
PROTECCIÓN DE DATOS
Los Datos Personales de los demás no nos pertenecen; tenemos que tratarlos con respeto.
LEGISLACIÓN
 


 
REGULACIÓN DE LOS DATOS PERSONALES EN EUROPA
 

La derogada LOPD era una ley hecha en España, para nosotros, los españoles. El vigente RGPD, por el contrario, se ha fraguado en el centro de Europa para los 28 países integrantes. Esto permitirá que el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de los datos personales, sea equivalente en todos los estados miembros. Antes de la entrada en vigor del RGPD, esto no ocurría.
 
Por tanto, la ley que regula la protección de los datos personales en la Unión Europea es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD). Incluye 173 considerandos y 99 artículos, y está en vigor desde el 25 mayo de 2018.
 
Según el art. 288 del Tratado de funcionamiento de la Unión Europea, el Reglamento tendrá un alcance general y será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
 
Como cualquier otro ordenamiento jurídico, el RGPD tiene ciertos elementos de flexibilidad que aportan dinamismo a la normativa. La integración europea ha estado siempre apoyada en un diálogo constante entre dos intereses: aquellos de la Unión Europea, y aquellos de los Estados miembros. En el caso del RGPD fueron necesarias ciertas concesiones para la aprobación de la norma. Había muchos intereses en juego: públicos (incluyendo la seguridad nacional) y privados (tanto de los individuos como de las empresas).
 
El largo y complicado proceso de aprobación del RGPD, que se presentó en 2012 y no se aprobó hasta cuatro años después, ha tenido como resultado que los Estados miembros obtuvieran numerosas concesiones en forma de cláusulas de flexibilidad. La inclusión de estas cláusulas fue posiblemente el peaje que hubo que pagar ante ordenamientos distintos con respecto a la protección de datos personales para conseguir un texto consensuado y vinculante. Estas cláusulas permiten a los Estados miembros bien desviarse de las provisiones del RGPD, bien desarrollarlas más a nivel nacional. El RGPD requiere la adecuación del Derecho interno aun sin haber una remisión directa y expresa al mismo, por ejemplo, con respecto al plazo de prescripción de las infracciones establecidas en el RGPD.
 
El RGPD contiene un total de cincuenta y seis remisiones a los ordenamientos nacionales. Las remisiones se refieren tanto al derecho público como al derecho privado. En el RGPD hay varios tipos de cláusulas de flexibilidad, que se pueden agrupar en cuatro categorías según el margen de maniobra que se otorga a los Estados miembros: disposiciones que, o bien parten de la normativa nacional, o bien permiten a la normativa nacional desarrollarse basándose en el RGPD; disposiciones que le permiten a la normativa nacional alejarse del RGPD; disposiciones que le permiten a la normativa nacional desarrollar más los principios del RGPD; y cláusulas de exclusión. Un ejemplo de la primera categoría (disposiciones que parten de la normativa nacional) es el art.6.1.c del RGPD que incluye una de las condiciones para que el tratamiento de datos personales sea lícito: cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. El art.83 del RGPD es un ejemplo de la segunda categoría (disposiciones que permiten a la normativa nacional desarrollarse basándose en el RGPD). Este artículo establece las condiciones generales para imponer multas administrativas. Por lo tanto, los diferentes Estados miembros tendrán que regular cómo articular esta imposición de multas administrativas. El propio artículo establece que «cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro». Este artículo se matiza para el caso de Estonia y Dinamarca, Estados que no permiten multas administrativas tal y como están contempladas en el RGPD. El RGPD contiene diversas disposiciones que permiten a la normativa nacional desviarse del RGPD, por ejemplo, en el art.23 del RGPD. Este artículo especifica las circunstancias en las cuales se puede limitar la aplicación de ciertas disposiciones del RGPD: por ejemplo, para salvaguardar la seguridad pública (art.23.1.c), u otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular intereses económicos o financieros (art.23.1.e.). En cualquier caso, la norma que limita la aplicación de las disposiciones del RGPD cuenta con ciertos límites, como los principios de necesidad y proporcionalidad. Algunos ejemplos de las disposiciones que pueden ver su aplicación limitada son las relativas a: los derechos del interesado; los principios relativos al tratamiento de datos; y las normas sobre la comunicación de una violación de la seguridad de los datos personales al interesado. Como contraposición a los límites contenidos en el art.23, el art.9.4 permite a los Estados miembros mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. Cuando una cláusula de flexibilidad se clasifica como una cláusula de exclusión, quiere decir que el RGPD no se aplica a la materia a la que esta cláusula se refiere.
Las cláusulas de exclusión son las más problemáticas de cara a la consecución de los objetivos del RGPD y su aplicación uniforme. Esto es así ya que directamente la disposición en cuestión no es aplicable en algunas áreas, como actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea (como la seguridad nacional), actividades dentro del ámbito de la Política Exterior y de Seguridad Común, o el tratamiento por autoridades competentes en relación con infracciones penales art.2 del RGPD.
 
Los Estados miembros han enfocado de manera distinta el uso de las cláusulas de flexibilidad: mientras que algunos han tenido un enfoque más minimalista, implementando sólo aquellas cláusulas para las cuales era obligatorio desarrollarlas a nivel nacional, por ejemplo, Países Bajos, Austria o Letonia, otros estados miembros han sido más expansivos a la hora de hacer uso de estas cláusulas, por ejemplo, Francia o España.
 
En España se ha promulgado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDDD). Incluye 97 artículos, 22 disposiciones adicionales, 6 disposiciones transitorias, 1 disposición derogatoria y 16 disposiciones finales. En vigor desde el 7 de diciembre de 2018.
 
La nueva Ley podría haber estado dispuesta para su entrada en vigor coincidiendo con la aplicación del RGPD, pero la tramitación parlamentaria se demoró más de lo esperado sobre todo a raíz de la imprevista incorporación vía enmienda, en el Congreso, del nuevo Título X sobre garantía de los derechos digitales. Título sin duda importante pero que habría justificado la aprobación de una Ley propia reguladora de los derechos en la sociedad digital, no solo de ciertos aspectos de su garantía. Así, se habría dado el realce que merece una Ley que tuviese como único objeto la regulación del derecho fundamental a la Protección de Datos.
 
 
La nueva Ley Orgánica no es una ley que regule en su totalidad el derecho fundamental a la protección de datos, sino que adapta en lo necesario el derecho español al RGPD. De modo que el citado derecho fundamental se regula hoy en parte por el Reglamento y en parte por la nueva Ley, que no debía en ningún caso reiterar lo ya regulado en la norma europea. Esto es lo que explica la aparente falta de regulación de ciertas materias en la LOPDDD, que se debe al hecho de que la misma se encuentra regulada de forma más o menos detallada en el RGPD (por ejemplo definiciones, derechos de los titulares de los datos o procedimiento de cooperación y coherencia) y, por el contrario, la extensa regulación de otras, que requieren un mayor desarrollo (como los tratamientos que pueden presumirse amparados en el interés legítimo, los procedimientos tramitados por las autoridades de control, el régimen de la Agencia Española de Protección de Datos, los supuestos en que debería nombrarse delegado de protección de datos o el régimen de los datos referidos a personas fallecidas, entre otras); sin perjuicio de las numerosas remisiones que el RGPD establece a la regulación propia de los Estados miembros.
 
La normativa ha sido modificada para adaptarse al RGPD, pero no reproduce el contenido del RGPD. La nueva LOPDDD tiene como fin la armonización de la legislación española con el RGPD, así como regular aquellas disposiciones de la norma europea que no están expresamente recogidas o que necesitan una regulación más detallada a nivel nacional. Por ello, se necesita consultar los dos textos legales para asegurar la correcta aplicación del RGPD en nuestro país.
 
Esta ley ha introducido cláusulas ciertamente polémicas con respecto a las actividades de los partidos políticos: permite a los partidos políticos la recopilación de datos personales relativos a las opiniones políticas en el marco de sus actividades electorales; permite a los partidos políticos utilizar datos personales para envíos de propaganda electoral por medios tecnológicos; y estos envíos no tienen el carácter de comunicación comercial (las comunicaciones comerciales requieren el consentimiento previo).
 
 
Si bien la armonización a nivel europeo de la normativa de protección de datos era uno de los objetivos principales del RGPD, estaba claro desde el primer momento que una armonización completa era prácticamente imposible de conseguir. Esto es así debido a que la normativa de protección de datos entra en la esfera de otras materias sobre las cuales la Unión Europea no tiene o tiene limitadas competencias (como por ejemplo defensa, seguridad nacional, penal y laboral). Por ello hay numerosas cláusulas de flexibilidad en estas materias. Además, podría argumentarse que en ocasiones falta compromiso por parte de los Estados miembros con la Unión Europea, y que los Estados miembros mantienen instrumentos cuya utilidad podría discutirse (por ejemplo, el bloqueo en España). Tanto las empresas como sus asesores tendrán que consultar el RGPD y la normativa nacional, y estudiar si hay restricciones específicas en el ámbito en el que operan. Esto deriva en la necesidad de monitorizar los cambios normativos de cada Estado miembro. Otro aspecto en el que las empresas tendrán que seguir monitorizando la normativa nacional son las obligaciones relativas a la designación de un delegado de protección de datos (art.37-39 del RGPD y art.34 de la LOPDDD). Las circunstancias en las que se activa la obligación de designar a un delegado de protección de datos varían entre Estados miembros, y son relativas a casos concretos.
 
Varios artículos y considerandos también introducen límites al uso de las cláusulas de flexibilidad. Con respecto a la finalidad del tratamiento de los datos personales, el art.6.3 del RGPD establece las disposiciones específicas que puede tener la base jurídica sobre la que se basa esta finalidad para que no se desvirtúen los objetivos del RGPD. El considerando 10 del RGPD limita la aplicación de las cláusulas de flexibilidad en tanto que exige una aplicación coherente y homogénea de la normativa de protección de datos personales con el fin de garantizar un nivel uniforme y elevado de protección en la Unión Europea. El considerando 153 también establece ciertas directrices dirigidas a los Estados miembros a la hora de conciliar la libertad de expresión e información con el derecho a la protección de los datos personales. Este último considerando establece normas de competencia para el caso en que haya exenciones o excepciones que difieran de un Estado miembro a otro: debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento.
 
El RGPD determina que los Estados miembros han de notificarle a la Comisión Europea las disposiciones nacionales relativas a: las autoridades de protección de datos, sanciones, conciliación entre el derecho a la protección de datos y la libertad de expresión y de información, tratamiento de datos en el ámbito laboral, y obligaciones de secreto profesional o equivalentes. Por otro lado, el RGPD también prevé que la Comisión Europea dicte actos delegados (art.92 del RGPD).
 
Además, el RGPD le encarga al CEPD (Comité Europeo de Protección de Datos) que garantice la coherencia en la aplicación del RGPD, por ejemplo, mediante directrices, recomendaciones y buenas prácticas. El CEPD ha elaborado mediante 22 opiniones unos criterios comunes para la elaboración de evaluaciones de impacto relativas a la protección de datos.
 
Los tribunales, tanto nacionales como europeos, son indispensables a la hora de interpretar las normas y asegurar gracias a ello una interpretación consistente en toda la Unión Europea. En esta línea, el TJUE ha establecido que cualquier medida que tenga como resultado la creación de un obstáculo al efecto directo del RGDP o haga peligrar su aplicación simultánea y uniforme en la Unión Europea es contraria al derecho de la Unión. Además, el TJUE ha defendido la independencia de las autoridades nacionales de control, y ha contribuido a otorgarles un papel importante a la hora de cumplir los objetivos del RGPD.
 
En resumen, los Estados miembros han elegido implementar cláusulas de flexibilidad de manera diferente, y algunos han hecho un uso extensivo de las mismas, por ejemplo, Francia o España, mientras que otros han sido más parcos en su utilización, por ejemplo, Alemania. Esta falta de armonización en la normativa nacional implica la persistencia de una cierta inseguridad jurídica acerca del alcance de obligaciones y derechos. Por ello, seguirá siendo necesario para las empresas multinacionales tener en cuenta la normativa nacional a la hora de tomar decisiones. Sin embargo, estas cláusulas permiten recoger particularidades del derecho nacional, y conciliar los intereses de los Estados miembros con los de la Unión Europea.
 
Ello, junto a los varios mecanismos de control de los que se dispone (el propio RGPD, las autoridades nacionales y europeas, la Comisión y los tribunales)permiten afirmar que se velará por una aplicación lo más armonizada posible, y que permita fortalecer lazos de confianza, en los que se sustenta parte de la economía digital.


DATOS PERSONALES


EL NÚCLEO DE LA CUESTIÓN

¿Qué entiende el RGPD por Datos Personales? Toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente,en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética,psíquica, económica, cultural o social de dicha persona.
Ejemplos de datos personales son:
Nombre y apellidos, dirección postal, datos de facturación, datos de solvencia económica, DNI, datos biométricos o de salud, edad, estado civil, números de teléfono, correo electrónico, localización, datos profesionales o de formación, nuestros contactos en proveedores, un identificador en línea o uno o varios elementos propios de la identidad física (huella dactilar), fisiológica, genética (ADN), psíquica, económica, cultural o social de una persona, la fecha y lugar de nacimiento, la matrícula de vehículos de su propiedad, nombres de usuarios, profesión, números de seguridad social, cookies en las páginas web, etiquetas RFID, firma electrónica, pruebas, diagnósticos y tratamientos médicos, rendimiento deportivo, edad, raza, afiliación política, cuentas bancarias, compras, suscripciones, visitas a páginas web, direcciones IP, uso de los servicios contratados, grabaciones de audio y video de cámaras de seguridad,una imagen, una grabación de voz, la información de identificación personal o PII (Personally Identifiable Information), intereses, gustos, geo-localización.
 
 
El contexto es importante. No es lo mismo colgar un cartel que diga que el vecino del 6º B es un moroso, en la puerta del Sol, que en el rellano de las escaleras de mi comunidad. En el primer caso, el dato no podría servir para identificar a nadie. En el segundo caso, el mismo dato si permitiría identificar a alguien.
 
 
Una persona es identificable si puede obtenerse, sin tener que realizar un esfuerzo desproporcionado en tiempo y recursos, información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
 
 
Por otra parte, en el RGPD se definen unas categorías especiales de datos, los denominados datos sensibles, que exigen una protección especial y que, por lo tanto, están sujetos a un régimen jurídico propio. Son datos de este tipo:
 
 
1.Datos personales que revelan ideología, afiliación sindical, opiniones políticas, creencias religiosas y otras creencias.
 
 
2.Datos personales que revelan el origen racial o étnico y los relativos a la salud o la vida sexual y orientación sexual, y ahora también datos genéticos y datos biométricos.
 
 
3.Datos de condenas penales o administrativas.
 
 
Esta protección reforzada se manifiesta por ejemplo en que el tratamiento de los primeros requiere el consentimiento expreso y por escrito de la persona; los segundos requieren el consentimiento expreso o que haya razones de interés general según una ley; y los terceros sólo podrán ser tratados por las administraciones públicas competentes en los supuestos previstos en sus normas reguladoras.
 
 
Todos estos son los datos que tenemos que proteger, ya sean de clientes, empleados o proveedores, porque es un derecho que tienen, y porque son un factor de competitividad para la empresa. La protección adecuada de los datos personales refuerza nuestra imagen ante el cliente, que cada vez es mas consciente del valor de su intimidad.

TRATAMIENTO


TODO EL CICLO DE VIDA DE LOS DATOS PERSONALES SE CONSIDERA TRATAMIENTO

Muchos piensan que el tratamiento de los datos personales tiene que ver con operaciones informativas complejas, con gran parafernalia de equipamiento y tecnología. Nada mas lejos de la realidad. Según el RGPD, tratamiento se considera cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como La recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

 
Ya sea por procedimientos automatizados o no, ya sea por medios manuales o digitales. Ya sea un dato personal escrito en una agenda de bolsillo o en un archivo de Excel. No se consideran datos personales los relativos a personas jurídicas (empresas y entidades), ni los que se puedan tener en el exclusivo ambito del hogar.

 
Es decir, el tratamiento de los datos personales, cubre el ciclo de vida de la información; creación, gestión, almacenamiento y destrucción.

RESPONSABLE

ES LA FIGURA MÁS REGULADA DEL RGPD
 


 
¿Qué es un responsable de tratamiento de datos personales? Es el beneficiario de dicho tratamiento y según el RGPD, la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

 


 
En primer lugar, antes y durante el tratamiento, el responsable aplicará las medidas técnicas y organizativas apropiadas a fin de cumplir los requisitos del RGPD, incluyendo el uso imprescindible de los datos personales necesarios para la finalidad del tratamiento (art.25 Protección de datos desde el diseño y por defecto).
 


 
En segundo lugar, el responsable actuará bajo el principio de responsabilidad proactiva (art.5,2), que implica asegurar que los datos personales serán tratados:
 
-de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia)
 
-recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (limitación de la finalidad)
 
-adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)
 
-exactos y, si fuera necesario, actualizados (exactitud)
 
-mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (limitación del plazo de conservación)
 
-tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental (integridad y confidencialidad)
 
A partir de este análisis, deben adoptar las medidas recogidas en el RGPD, que han de ser adecuadas para su cumplimiento, y deben PODER DEMOSTRARLO a priori, ante interesados y autoridades supervisoras y judiciales. Ello obliga a las empresas a tener una ACTITUD PROACTIVA, DILIGENTE Y CONSCIENTE en los tratamientos de datos personales que efectúen.
 


 
También ha de adoptar un enfoque de riesgo durante la vida del tratamiento. La confidencialidad, integridad e disponibilidad de los datos personales, está amenazada constantemente, y la probabilidad de que esas amenazas se materialicen, hacen necesario un enfoque constante de riesgo, a través del correspondiente análisis y gestión del riesgo y, en su caso, de la evaluación de impacto.
 


 
No menos importante es la obligación del responsable de informar al interesado de las características del tratamiento (art. 13 y 14), así como facilitar el ejercicio de sus derechos reconocidos en el RGPD (art. 15 a 22).

 


 
 
Hay más. También tiene que determinar la existencia de transferencias internacionales y/o cesión a terceros de datos personales, la elaboración del Registro de Actividades de Tratamiento (si procede),  la elaboración del análisis de riesgo y, en su caso, de la evaluación de impacto de datos personales, diseño de los consentimientos de los clientes y del deber de informar, contratos con empleados y terceros, notificación de las violaciones de seguridad y contratación, en su caso, del Delegado de Protección de Datos.

DELEGADO


EL DELEGADO DE PROTECCIÓN DE DATOS, DPD Ó DPO EN INGLÉS (DATA PROTECTION OFFICER)
El RGPD proporciona un marco moderno en lo relativo a la protección de los datos en Europa. En este nuevo marco jurídico, el Delegado de Protección de Datos (DPD) es un elemento primordial para todas las organizaciones, facilitando el cumplimiento, a veces complejo, de las disposiciones de RGPD.
El concepto de DPD no es nuevo. Aunque la derogada directiva 95/46/CE no exigía el nombramiento de uno, la práctica de tal designación se ha desarrollado, no obstante, en varios países de la UE desde 1995. El grupo de trabajo del artículo 29, especialistas jurídicos que asesoran a la Comisión Europea en materia de protección de datos, ya argumentaban entonces que el DPD era la piedra angular de la rendición de cuentas y que su nombramiento facilitaría el cumplimiento, mediante la aplicación de instrumentos como llevar a cabo evaluaciones de impacto o auditorias de protección de datos y, además, se convertiría en una ventaja competitiva para las empresas y entidades.
En el nuevo RGPD, como veremos más adelante, es obligatorio que algunos responsables y encargados del tratamiento designen un DPD. En los casos en que no sea obligatorio, el grupo de trabajo 29 alienta a que las organizaciones designen de manera voluntaria un DPD.
Según el art.24,1 del RGPD, es el responsable o el encargado quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD. Asimismo, ambos son responsables de posibilitar el desempeño efectivo de las tareas del DPD. Los DPD no son personalmente responsables en caso de incumplimiento del RGPD. El nombramiento de un DPD es el primer paso, pero debe contar además con la autonomía y los recursos suficientes para desarrollar su labor de forma efectiva. El RGPD reconoce al DPD como partícipe clave en el nuevo sistema de gestión de los datos personales, y establece las condiciones para su nombramiento, su puesto y sus tareas. Estas directrices pretenden aclarar las disposiciones pertinentes del RGPD con el fin de ayudar a los responsables y encargados a cumplir con la legislación, pero también ayudar a los DPD en el desempeño de su labor. También ofrecen recomendaciones sobre las mejores prácticas, basadas en la experiencia adquirida en algunos países de la UE.
El art.37,1 del RGPD requiere la designación de un DPD en tres casos específicos:
1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales).
Según el art.6,1,e, una labor publica puede llevarse a cabo y la autoridad pública puede ejercerse, no solo por las autoridades y organismos públicos sino también por otras  personas físicas o jurídicas regidas por el derecho público o privado, en sectores como el transporte público, suministro de agua y energía, infraestructuras viarias, radiodifusión publica, etc. En estos casos se recomienda a dichas entidades, como buena práctica, que designen un DPD.
2) cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
El considerando 97 especifica que las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. No obstante, las actividades principales no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad del responsable o encargado del tratamiento. Por ejemplo, la actividad principal de un hospital es prestar atención sanitaria. Sin embargo, un hospital no podría prestarla de manera segura y eficaz sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por tanto, el tratamiento de dichos datos ha de considerarse una de las actividades principales de cualquier hospital, y estos deben en consecuencia, designar un DPD. El RGPD no define qué se entiende por tratamiento a gran escala para hacer necesaria la designación de un DPD, aunque el considerando 91 ofrece alguna orientación. Como casos que no constituyen tratamiento a gran escala, cabe señalar los de pacientes por un solo médico y los relativos a condenas e infracciones penales por parte de un abogado. El concepto de observación del comportamiento de los interesados se menciona en el considerando 24 e incluye claramente toda forma de seguimiento y creación de perfiles en internet, también con fines de publicidad del comportamiento. El concepto de observación no se limita al entorno on line; también se interpreta como habitual la observación continuada o que se produce a intervalos concretos durante un periodo concreto, la recurrente o repetida en momentos prefijados y la que tiene lugar de manera constante o periódica. Por sistemática se entiende que se produce de acuerdo con un sistema, preestablecida, organizada o metódica, que tiene lugar como parte de un plan general de recogida de datos o llevada a cabo como parte de una estrategia. Como ejemplo de estas actividades están las de operar una red de telecomunicaciones, prestar servicios de telecomunicaciones, redireccionar correos electrónicos, actividades de mercadotecnia basadas en datos, elaborar perfiles y otorgar puntuación con fines de evaluación de riesgos (calificación crediticia, establecer primas de seguros, prevenir el fraude, detectar blanqueo de dinero), llevar a cabo seguimiento de la ubicación, programas de fidelidad, publicidad conductual, seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles, televisión en circuito cerrado, contadores inteligentes, coches inteligentes y domótica.
3) cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales(según el art.9, los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera univoca a una persona física, datos relativos a la salud, datos relativos a la vida sexual o la orientación sexual de una persona física o los datos relativos a condenas e infracciones penales).
Según el art.37,4, el derecho de los Estados miembros podrá exigir el nombramiento de un DPD también en otras situaciones. Así, nuestra LOPDGDD, en su art.34,2 complementa el art.37,1 del RGPD ampliando la lista de organizaciones obligadas a nombrar DPD:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
Cuando una organización designe un DPD de forma voluntaria, se aplicarán los requisitos establecidos en los art.37 a 39 del RGPD, como si el nombramiento hubiese sido obligatorio. Nada impide a una organización que legalmente no esté obligada a designar un DPD y no desee nombrarlo de forma voluntaria, emplear a pesar de todo personal o asesores externos que desempeñen tareas relacionadas con la protección de los datos personales. En tal caso, es importante asegurarse que no haya confusión posible respecto a su cargo, status, puesto y tareas. Debe de quedar claro consecuentemente, en cualquier comunicación interna, así como con las autoridades de protección de datos, los interesados y el público en general, que el título de esa persona o asesor no es el de DPD. Esto también es pertinente respecto a los responsables de la protección de la intimidad u otros profesionales que ya existen en algunas empresas, los cuales puede que no siempre satisfagan los criterios del RGPD, por ejemplo, en cuanto a recursos disponibles o a garantías de independencia y, por consiguiente, no pueden considerarse DPD ni hacerse mención a ellos como tales.
El art.37 se aplica tanto a los responsables como a los encargados del tratamiento. En función de quien cumpla los criterios de designación obligatoria, habrá casos en que el DPD haya de nombrarlo uno o el otro o ambos. P.ej., una empresa mediana que fabrica azulejos, subcontrata sus servicios de salud laboral a un responsable del tratamiento externo con un gran número de clientes similares. El encargado del tratamiento designara un DPD en virtud del art.37,1,c. El fabricante no estará necesariamente obligado a designar un DPD.
El art.37,2 y 3 permite a un grupo empresarial, autoridad u organismo público designar un único DPD, siempre que este sea fácilmente accesible desde cada establecimiento. Accesible a los interesados (art.34,4), a las autoridades de control (art.39,1,e) e internamente en la organización, teniendo en cuenta que una de sus tareas es informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del RGPD (art.39,1,a). La comunicación ha de tener lugar en el idioma utilizado por los interesados afectados y la autoridad de control. La disponibilidad del DPD (físicamente, on line o por otros medios seguros de comunicación) es, pues, fundamental para garantizar que los interesados puedan contactar con el DPD.
El art.37,5 establece que el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la practica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el art.39. El considerando 97 dispone que el nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos que se realicen y de la protección exigida para los datos personales tratados. El conocimiento del sector empresarial y de la organización del responsable del tratamiento es también útil. Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento así como de los sistemas TIC y las necesidades de seguridad y protección de datos del responsable. Las cualidades del DPD para desempeñar sus funciones deben incluir la integridad y un nivel elevado de ética profesional; la principal preocupación del DPD debe ser posibilitar el cumplimiento del RGPD. Él promociona una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales del RGPD, como los principios relativos al tratamiento de datos (capítulo II del RGPD), los derechos de los interesados (cap. III), la protección de los datos desde el diseño y por defecto (art.25), el registro de las actividades del tratamiento (art.30), la seguridad del tratamiento (art.32), y la notificación y comunicación de las violaciones de la seguridad de los datos (art.33 y 34). El art.38 establece que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
El art.38,2 prevé que la organización respalde a su DPD facilitando los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. El art.38,3 establece algunas garantías básicas que contribuyen a asegurar que los DPD puedan realizar sus tareas con el suficiente grado de autonomía dentro de su organización. El considerando 97 añade que los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Esta autonomía no significa que tengan poder para adoptar decisiones más allá de sus funciones, definidas con arreglo al art.39.
El art.38,3 establece que el DPD no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. Este requisito refuerza su autonomía. Como para cualquier otro empleado o contratista sujeto al derecho contractual, laboral y penal, un DPD podría ser legítimamente destituido por motivos distintos del desempeño de sus funciones como tal, p.ej. en caso de robo, acoso físico, psicológico o sexual o falta grave similar.
El art.38,6 permite a los DPD desempeñar otras funciones y cometidos. No obstante, requiere que la organización garantice que dichas funciones y cometidos no den lugar a conflicto de intereses (ocupar cargos de alta dirección, dirección de mercadotecnia, RRHH o TI, etc.).
El art.39,1,b encomienda a los DPD supervisar la observancia del RGPD, en especial, recabar información para determinar las actividades del tratamiento, analizar y comprobar la conformidad con la normativa de las actividades del tratamiento e informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.
De conformidad con el art.35,1, es labor del responsable del tratamiento y no del DPD realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento. No obstante, el DPD puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. El art.35,2 establece específicamente que el responsable recabará el asesoramiento del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el art.39,1,c impone al DPD la obligación de ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto y supervisar su aplicación.
Según el art.39,1,d,e, el DPD deberá cooperar con la autoridad de control y actuar como punto de contacto de la misma para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art.36 y realizar consultas, en su caso, sobre cualquier otro asunto.
El art.39,2 requiere que el DPD desempeñe sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del mismo.
INTERESADO


LA RAZÓN DEL RGPD
Los datos personales pertenecen a su titular, y este tiene derecho a que el tratamiento de los mismos por parte de un responsable sea respetuoso y garantista. Todo comienza en el art. 18,1 de la Constitución Española, que asegura que se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El RGPD obliga al responsable del tratamiento a gestionar los datos personales con plenas garantías para su titular, permitiendo al mismo ejercer sus derechos frente al tratamiento, a estar informado de la finalidad, duración y licitud del mismo, y de cesiones a terceros de sus datos.

Regreso al contenido