El perfil jurídico del delegado de protección de datos

Con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD) por el Consejo y el Parlamento Europeo el pasado 14 de abril, quedan despejadas algunas dudas, y pendientes otras, en relación con la figura del delegado de protección de datos (en inglés, Data Protection Officer, DPO). Esta figura es nueva en España pero tiene ya un largo recorrido en otros países de la Unión Europea, especialmente en Alemania, primer país en incluirla en su normativa nacional sobre protección de datos personales.

En concreto, la figura del “Bundesbeauftragten für den Datenschutz” fue incluida en la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG), de 27 de enero 1977. Y fue la delegación alemana la que, unos años más tarde, influiría para que la figura se incluyese también en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que queda derogada por el RGPD, en virtud de lo previsto en su artículo 94, una vez que el mismo comience a ser aplicado.

Sea como fuere, dejando a un lado cuestiones terminológicas, ya que la traducción jurídica del inglés al español a veces puede no ser la más adecuada, y de aplicación del artículo 18, apartado 2, segundo guión de la Directiva 95/46/CE en cuanto a si un Estado miembro, salvo el caso de España y otros que no aprovecharon la opción, podía simplificar e incluso omitir la notificación de ficheros ante la autoridad de protección de datos, ahora la figura del DPO será obligatoria, en todos los Estados miembros, en los casos previstos en el RGPD.

¿Quién debe designar a un DPO?

La aprobación del RGPD permite responder con más claridad a la pregunta, si bien todavía puede que surjan dudas en casos muy específicos que el tiempo, y la guía de las autoridades competentes, resolverán.

Sabiendo ya que el umbral de 250 empleados en el caso de empresas no es aplicable, lo cual supone que se haya adoptado una decisión de política pública tal como contemplaba la Comisión Europea en su documento de evaluación de impacto, serán los siguientes responsables y encargados del tratamiento quienes tendrán que designar a un DPO:

• una autoridad o un organismo público, salvo los tribunales cuando éstos actúen en el ejercicio de su función judicial;
• el responsable o encargado del tratamiento cuyas actividades principales consistan en:
  • “operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o”
  • “el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”

En este último caso, pensando especialmente en el sector jurídico, habría que considerar la designación de un DPO o, alternativamente, la anonimización de sentencias y otras resoluciones antes de poder hacer un tratamiento analítico de datos masivos (“big data analytics”).

¿Falta la definición del DPO en el RGPD?

A la vista del artículo 4 del RGPD, relativo a las definiciones, puede pensarse que el legislador europeo se ha olvidado de la definición del DPO. Pero quizás la ausencia de dicha definición es una decisión consciente para evitar restringir quién pueda ser DPO.

Al respecto, es importante tener en consideración que la Comisión Europea, cuando presentó en 2012 su propuesta de RGPD (COM(2012) 11 final, de 25 de enero), no incluyó la definición en la misma, pero sí lo hizo en el Documento de Trabajo de los servicios de la Comisión relativo a la evaluación de impacto de su propuesta (SEC(2012) 72 final, de 25 de enero). En concreto, en dicho documento se define al DPO como “una persona responsable dentro del responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo” (traducción no oficial del original en inglés).

Considerando lo anterior, podría decirse que el hecho de que no se restrinja quién pueda ser DPO no significa, sin embargo, que pueda ser cualquiera. Queda claro que el RGPD quiere que el DPO tenga un perfil jurídico, estableciéndose expresamente en el apartado 5, del artículo del artículo 37, que “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”

¿Por qué es importante que el DPO tenga un perfil jurídico?

Son varias las razones por las que cabe plantear que el DPO tiene que tener un perfil jurídico, sin perjuicio de que, según las características de cada responsable y/o encargado del tratamiento obligado a designarlo, pueda ser parte de un equipo con otros profesionales de diverso perfil (seguridad, relaciones públicas, etc.).

Entre dichas razones, quizás la principal es que estamos ante un derecho fundamental que, especialmente en los casos en los que el tratamiento de los datos personales representa un riesgo para la persona, requiere tener una formación jurídica que permita evaluar el mismo y dar respuestas ante todas las partes interesadas, ya sean el propio responsable o encargado del tratamiento, la autoridad de protección de datos u otras autoridades competentes.

En definitiva, dadas las funciones el DPO y el objetivo último del RGPD, éste debe tener un perfil jurídico dado que se trata de asegurar la protección de “los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.”

Miguel Recio Gayo

Máster en Protección de Datos, Transparencia y Acceso a la Información

Asociado ENATIC

@MRecioCloud