El grupo de trabajo del art. 29 publicó el pasado mes de diciembre nuevas directrices para la adecuación al nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018. Estas guías interpretativas tratan de tres cuestiones:

  • La figura del Data Protection Officer o Delegado de Protección de Datos
  • La identificación de la Autoridad de Control Principal
  • El Derecho a la Portabilidad de los Datos
  1. DELEGADO DE PROTECCIÓN DE DATOS

En los art. 37, 38 y 39 del Reglamento se recoge la figura del Delegado de Protección de Datos (DPO). Es recomendable el nombramiento de un DPO para todos aquellos que traten datos personales, y obligatorio en determinadas situaciones como:

  • Entidades cuya actividad principal consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.)
  • Entidades que realicen tratamiento de categorías especiales de datos especiales, a las cuales se refiere el art. 9 del Reglamento:
    • Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, con las excepciones del apartado segundo del mismo artículo.
    • Datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
    • Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
  • Entidades que realicen tratamiento de datos relativos a condenas e infracciones penales (recogidas en el art.10) a gran escala.
  • Autoridades y organismos públicos, excepto tribunales.

Respecto de la expresión “a gran escala”, el Grupo de Trabajo considera que se trata de un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica. Constituyen tratamientos a gran escala aquellos tratamientos datos de viaje de clientes por una compañía de seguros o un banco, los tratamientos de datos de tráfico, localización… por prestadores de servicios de acceso a Internet o telefonía o el tratamiento de datos para llevar a cabo actividades de publicidad comportamental, entre otros.

Las cualidades o competencias profesionales que se exigen al Delegado de Protección de Datos se recogen en el art. 37.5 del Reglamento e incluyen las siguientes:

  • Conocimientos especializados en derecho, especialmente en el nuevo Reglamento, y experiencia en materia de protección de datos, nacional y a nivel comunitario.
  • Capacidad para el desarrollo de las funciones que exige el Reglamento en su art. 39 y que se detallan más adelante.
  • Independencia y transparencia en el ejercicio de sus funciones.
  • Comprensión de las operaciones de tratamientos y de las tecnologías de la información y la seguridad de los datos.

Además de la recomendación en cuanto a la designación, también se hace referencia en esta guía sobre la posición del DPO dentro de la empresa y sus tareas.

El Reglamento, en su artículo 39, especifica las siguientes funciones que debe realizar el Delegado de Protección de Datos, aunque el Responsable del tratamiento puede ampliar estas:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • Cooperar con la autoridad de control;
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado de tratamiento (DPO interno), en este sentido, la guía señala una serie de cargos que podrían considerarse incompatibles con la función de DPO, o desempeñar sus funciones mediante un contrato de servicios (DPO externo).

Aunque, por el momento, no es necesaria ninguna certificación para ejercer las funciones de DPO, el Grupo de Trabajo ha recomendado a los Estados Miembros que promuevan cursos para garantizar una formación especializada para aquellos que vayan a ejercer las funciones de Delegado de Protección de Datos.

En Letslaw, además de ser especialistas en protección de datos y contar con las competencias profesionales y experiencia exigibles por el nuevo Reglamento, contamos con una certificación oficial, con el objetivo de dar garantía y seguridad a nuestros clientes de nuestra capacidad para el correcto desarrollo de las funciones del DPO.

  1. AUTORIDAD DE CONTROL PRINCIPAL

Esta figura será necesaria en el caso de tratamiento transfronterizo de datos, situación que el art. 4 del Reglamento entiende como:

  • Tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado de tratamiento en la Unión, si el responsable o el encargado esta establecido en más de un Estado miembro.
  • Tratamiento de datos personales realizado en el contexto las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente en más de un Estado miembro.

En estos casos, los procedimientos sancionadores o investigaciones relacionadas con ese tratamiento transfronterizo serán dirigidos por la Autoridad de Control Principal. En la guía, el Grupo de Trabajo del art. 29 establece ejemplos de tratamientos transfronterizos y una serie de pautas para que el responsable o encargado del tratamiento pueda identificar a la Autoridad de Control Principal y a las Autoridades de Control interesadas que corresponda.

Además, el Grupo de Trabajo concreta lo que se entiende por “afectar sustancialmente” y se establece el sistema de ventanilla única cuyo objetivo es actuar como interlocutora para acelerar los procesos administrativos y garantizar seguridad en el tratamiento de datos personales que se realice entre los Estados de la Unión.

  1. DERECHO A LA PORTABILIDAD DE LOS DATOS.

El nuevo derecho a la portabilidad de los datos aparece en el art. 20 del RGPD. Este derecho es abordado por la guía el Grupo de Trabajo del Art. 29, donde se definen los elementos que lo integran y que pretende orientar sobre la forma de interpretar y aplicar este derecho, aclarando las condiciones de aplicación del mismo conforme al RGPD. Además, el Grupo de Trabajo, establece ejemplos para explicar las circunstancias donde puede aplicarse el derecho.

Este nuevo derecho permite a los interesados “recibir datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado” teniendo así, el titular de los datos, un mayor control sobre ellos.

Esta portabilidad de los datos, que permite la transmisión directa de datos personales de un responsable de tratamiento a otro, supone un método para fomentar el libre flujo de datos personales de la UE debido a que facilita el intercambio entre diferentes proveedores de servicios.

Este derecho es complementario al derecho de acceso, con la peculiaridad de que facilita al titular de los datos un mecanismo mediante el cual pueda conocer dichos datos y utilizarlos.

Letslaw es un despacho de abogados especializado en derecho digital y protección de datos.