REGLAMENTO GENERAL DE PROTECCION DE DATOS
ENTRADA EN VIGOR 25 DE MAYO DE 2018
Resultan muy numerosas en estos días las noticias que se vienen sucediendo en relación con la inminente entrada en vigor del Reglamento General de Protección de Datos, el próximo día 25 de mayo de 2018. Quizas una de las cuestiones que se vienen planteando de manera reiterativa en el entorno empresarial es en relación con el nombramiento del Delegado de Protección de Datos en la empresa.
Sin duda las empresas al tener presente sus obligaciones de cumplimiento normativo no pueden obviar tener presentes otros referentes como es el caso del Delegado de Prevención de Riesgos Laborales o el Compliance Officer, por tanto vamos a identificar correctamente la situación de partida.
Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:
– Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
– Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
– Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas
La terminología y casuística de los supuestos no resulta clara y taxativa de manera que el Proyecto de Ley Orgánica de Protección de Datos, del pasado 24 de noviembre de 2017, redactado para adaptar la ley española a la normativa europea, aclara algunas inexactitudes que se dan en el Reglamento General de Protección de Datos.
¿Qué entiende el RGPD por actividades principales del responsable de tratamiento?
Estarán obligados a tener un delegado de protección de datos aquellos negocios y empresas que tengan como objetivo el tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo de la misma.
Otro de las circunstancias que ha de darse en la actividad principal del empresas y negocios que obliga a disponer de un Delegado de Protección de Datos es que el tratamiento de los datos sea a gran escala. Aquí influye no solo el volumen de datos o el número de perfiles involucrados sino también el alcance el alcance geográfico o la duración y permanencia de los datos en el seno de la empresa.
El RGPD no ha establecido unos parámetros objetivos y cuantitativos para estandarizar lo estos factores influyentes en el significado de datos a gran escala. Las empresas obligadas a contratar los servicios de un delegado de protección de datos deben realizar un seguimiento regular, es decir continuado y recurrente, y sistemático, o lo que es lo mismo, preestablecido, organizado y metódico, como parte fundamental de una estrategia.
El artículo 34 del Proyecto de la Ley General de Protección de Datos (PLOPD) detalla algunas de las entidades que están obligadas a la designación de un delegado de protección de datos:
– Colegios profesionales y sus consejos generales
– Centros docentes
– Entidades que exploten redes y presten servicios de comunicaciones electrónicas
– Prestadores de servicios de la sociedad de la información
– Entidades de crédito
– Establecimientos financieros de crédito
– Entidades aseguradoras y reaseguradoras
– Empresas de servicios de inversión
– Distribuidores y comercializadores de energía eléctrica y de gas natural
– Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
– Entidades que desarrollen actividades de publicidad y prospección comercial
– Centros sanitarios
– Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
– Operadores que desarrollen la actividad de juego
– Quienes desempeñen las actividades de Seguridad Privada
– Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.
Las funciones del delegado de protección de datos se especifican en el artículo 39 del Reglamento europeo:
– Informar al responsable o a los responsable del tratamiento de datos sus obligaciones en el tratamiento.
– Supervisar el correcto cumplimiento de la normativa y las labores derivadas de la misma como la asignación de responsabilidades o la formación del personal.
– Asesorar sobre la evaluación de impacto relativa a la protección de datos y cerciorarse de la aplicación conforme a la normativa europea y la propia ley orgánica de protección de datos.
– Colaborar con la autoridad de control comunitaria y nacional encargada de velar por la aplicación de la normativa y ser punto de contacto.
Por tanto, hemos intentado clarificar alguna cuestiones fundamentales entorno a Delegado de Protección de Datos pero es una persona cualificada y por parte de la Agencia Española de Protección de Datos (AEPD) lanza, en aras de certificar esas competencias profesional, el esquema de certificación de Delegados de Protección de Datos.
Ahora bien, a la pregunta están las empresas obligadas a nombrar un Delegado de Protección de Datos hemos dado respuesta con normativa en mano, si bien las empresas obligadas deben de seguir una hoja de ruta y podrán habilitar a personal de su plantilla con la cualificación suficiente que supera las pruebas de certificación o bien optar por externalizar el nombramiento del Delegado de Protección de Datos y servicio con terceras empresas especializadas.
