El nuevo Reglamento de Protección de Datos que armonizará el
marco normativo y será aplicado en todos los países de la Unión Europea
incorpora la obligatoriedad de un Delegado de Protección de Datos (DPO, por sus
siglas en inglés) en organizaciones públicas y muchas empresas privadas. La
publicación de la Norma está prevista para principios del año 2016
La información aparece en la última versión consolidada de la
Propuesta de Reglamento general de protección de
datos, que se ha hecho pública a través de la organización no
gubernamental State Watch. Se trata de un documento dirigido por la
Presidencia al Comité de Representantes Permanentes a partir de la reunión de
este órgano de fecha 9 de diciembre.
¿En qué
casos será obligatorio un DPO?
Tras años de deliberaciones y dudas al respecto, el Reglamento
establece que será obligatoria la contratación de un DPO en diversos casos
concretos. En primer lugar, para todas las organizaciones públicas (a excepción
de los tribunales en ejercicio de la potestad jurisdiccional). En segundo,
lugar, se establece la obligatoriedad en determinadas organizaciones privadas,
en general aquellas que desarrollen profilling o que traten datos de
categorías especiales. En concreto, cuando “las actividades principales del
responsable o del encargado consistan en tratamientos que, en virtud de su
naturaleza, su alcance o finalidad, requieran una monitorización periódica y
sistemática de los titulares de los datos a gran escala”, como por ejemplo en
actividades como la solvencia patrimonial, en la investigación de mercados o en
controles asociados a la productividad o en el análisis de riesgos.
Asimismo, el DPO será obligatorio también cuando “las
actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categorías especiales de datos de conformidad con
el artículo 9 o de datos relativos a condenas penales y delitos mencionados en
el artículo 9 bis”. Esto es, datos que revelen el origen racial o étnico,
ideología, religión o creencias filosóficas, afiliación sindical, datos
genéticos, y el tratamiento de datos biométricos para identificar unívocamente a
una persona, así como los relativos a la salud y vida y orientación sexual, y
datos relativos a condenas y antecedentes penales.
Por otra parte, hay que destacar que el párrafo cuarto incluye
la posibilidad de que esta obligación pueda ser impuesta en otros casos cuando
lo disponga el Derecho de la Unión o el del Estado miembro.
Los profesionales expertos en protección de datos y
privacidad
Desde la
Asociación Profesional Española de Privacidad
(APEP) se recoge positivamente esta información, teniendo en cuenta que ya ha
destacado, tanto a nivel nacional como europeo (siendo miembro fundador de la
Confederation of European Data Protection
Organisations-CEDPO) de la utilidad de la figura del
DPO en aras de una mejor gestión de la protección de datos y la privacidad en
las organizaciones y del respeto al derecho fundamental. Y también para promover
la integración y toma en consideración de la privacidad como valor añadido de
las empresas en un mercado global competitivo. Pero a la vez, APEP reclama a las
instituciones europeas que definan de la forma más concreta posible la figura
del DPO, garantizando que estos profesionales tengan una formación y
conocimientos adecuados y puedan ser identificados fácilmente.
Parece oportuno destacar que la Asociación considera esencial
la figura del profesional experto en privacidad y protección de datos, también,
para dar garantía, confianza y seguridad en el mercado. Por este motivo, la APEP
ya trabaja para formar y acreditar a los profesionales expertos en privacidad en
España, a través de su
Certificación ACP (APEP-CertifiedPrivacy)
y sus
cursos de formación especializada, que
a su vez sirven para conseguir la acreditación ACP.
Los conocimientos sobre protección de datos y privacidad son
muchos y se requiere una actualización constante de los profesionales. Pues se
trata de un tema sensible y de máxima relevancia y actualidad, debido
fundamentalmente al acelerado desarrollo tecnológico. De esta manera, a modo de
ejemplo, la APEP organiza cursos de cloud computing, videovigilancia,
medidas de seguridad, relaciones laborales, procedimiento administrativo
sancionador, externalización de servicios, Privacy Impact Assessment,
transferencias internacionales de datos, redes sociales, internet y cookies,
aspectos jurídicos, menores…). Sólo los profesionales con un nivel alto de
especialización acreditado deberían poder ser DPO.
La
Certificación ACP se trata de una
acreditación garantizada por un sistema de concesión transparente que permite a
los profesionales avalar su alta especialización en la normativa de protección
de datos de carácter personal y privacidad. Para su obtención se requiere
demostrar los conocimientos teóricos necesarios y solvencia en el desempeño de
competencias específicas. Se trata de una certificación, fiable y rigurosa, que
cumple con los requisitos de calidad tal y como establece en el futuro
Reglamento de la UE.
“El DPO constituirá una figura esencial, un apoyo
indispensable para el despliegue de una futura Norma particularmente complicada.
Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y
por tanto “accountable”, de los responsables haciendo compatible el
funcionamiento de la organización, la consecución de los objetivos lícitos y
legítimos del negocio, y la garantía del derecho fundamental a la protección de
datos y la seguridad de la información. Por otra parte, y sin duda será el
interlocutor necesario con el regulador, con la Agencia Española de Protección
de Datos, y el colaborador que sin duda la institución necesita”, comenta Ricard
Martínez, presidente de la APEP.