Pon un Data Protection Officer en tu vida! - Tic&Law
21746
post-template-default,single,single-post,postid-21746,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-2.4.1,wpb-js-composer js-comp-ver-4.7.4,vc_responsive

Pon un Data Protection Officer en tu vida!

El Data Protection Officer (en adelante, “DPO“), una de las grandes novedades del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, adquirirá una gran importancia en la escala de control de la protección de datos, no como responsable directo del tratamiento de los mismos sino como asesor fundamental y salvaguarda de la buena aplicabilidad de las directrices impuestas por el Reglamento (para ver con más detalle el contenido de dicho Reglamento, véase aquí).

La designación de esta figura se concibe con carácter voluntario, como un intermediario con la autoridad de control y asesor del responsable o encargado del tratamiento. Caracterizado fundamentalmente por ser un experto jurídico en materia de protección de datos y con el que se puede mantener tanto un vínculo contractual externo, en concreto, perfeccionando un contrato de servicios, o como un empleado interno.

Como se puede observar su novedoso y complejo funcionamiento, ha requerido de la intervención del Grupo de Trabajo del Artículo 29 (en adelante, “WP29”), labrando una serie de directrices (véase en el siguiente link) en consonancia con el Reglamento, sobre el ámbito de actuación de esta figura y de este modo, poder preparar al sector público y a las empresas privadas para el porvenir del DPO dentro de sus estructuras.

Toda esa serie de directrices giran alrededor de la antítesis de uno de los rasgos fundamentales mencionados con anterioridad, el carácter voluntario de su intervención. A pesar de que se haya determinado su designación como potestativa, el Reglamento insiste en su figura y designación dirigiéndolo hacia un camino donde finalmente, su presencia será casi imprescindible, y es por ello que el WP29 se ha visto obligado a dar las razones que la causas.

El citado Reglamento, en un primer estadio establece una serie de supuestos tasados donde será imperativa su designación.

En primer lugar encontramos aquella situación por la que el tratamiento de los datos lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

En este sentido, cabe hacer un matiz pues, hay ciertos sectores que han sufrido una liberalización y privatización, por lo que el intervencionismo de las autoridades públicas ha quedado limitado por la aparición de la empresa privada. En este caso precisamente por haber el concurso de éstas, la designación del DPO adquirirá de nuevo su carácter facultativo pero muy recomendado, pues el privado absorberá muchas de las facultades conferidas a la autoridad u organismo público, entre ellas, por ejemplo, el tratamiento de las bases de datos de un empleado.

Por otra parte, la designación del DPO volverá a ser obligatoria cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

En este segundo supuesto pues, el factor fundamental que determina la obligatoriedad de la designación del DPO es el impacto cuantitativo del manejo de datos personales que puede tener que adoptar una empresa. No hay un número que esté determinado ni una escala establecida para saber a partir de qué momento puede considerarse un tratamiento a gran escala, pero se establecen una serie de pautas y factores a tener en cuenta todos ellos en su conjunto, para poderse considerar que hay tratamiento a gran escala: el número de afectados, el volumen de los datos tratados, la duración o permanencia de la actividad de tratamiento y su afectación geográfica.

Y como último supuesto en el que la figura del DPO será necesaria nos la encontramos cuando las actividades principales del responsable o encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Debemos partir del hecho que los datos a los que hace referencia el artículo 9, en determinadas circunstancias podrán ser tratados cuando el interesado por ejemplo, preste su consentimiento expreso. Pero dichos datos gozan de cierta sensibilidad por lo que si su utilización fuera inadecuada, podría entrar en colisión con otros derechos fundamentales. De ahí la razón de un refuerzo en el control del tratamiento de dichos datos.

Cabe hacer un matiz, y es que la literalidad del articulado parece indicar que deben concurrir ambas situaciones, es decir, que se traten datos personales del artículo 9 y del 10. En este sentido, el WP29 clarifica que no se debe dar una acumulación de ambos, sino con la concurrencia de uno de ellos, bastará para la designación del DPO.

Por último, como se ha expresado al principio de este escrito, el papel que juega el DPO parece adquirir tal importancia que regula otros supuestos en los que es muy recomendable su presencia. Y entre ellos el WP29 hace especial referencia a la designación del DPO por parte de grupos de empresa.

De modo que, como se puede comprobar, el Reglamento abarca delimitados escenarios, pero con tal trascendencia que parece intentar influir en otro tipo de situaciones que no regula expresamente para que, finalmente tanto la empresa privada como el sector público entiendan de su importancia y se haga una figura casi imprescindible en cualquier tipo de negocio.

Marta Ortega.

nifled tic&law

 

 

No hay comentarios.

Sorry, the comment form is closed at this time.