Si las autoridades de control o supervisión en protección de datos «son las guardianas de los […] derechos y libertades fundamentales […] en lo que respecta al tratamiento de datos personales» (1) , el que podemos denominar como delegado de protección de datos (en adelante DPD) (2) , actúa, al respecto y entre otras funciones que puede desempeñar, como la conciencia de la organización (3) , con independencia de que sea esta privada o pública y de que trate datos personales como responsable o encargado del tratamiento.
Esto significa que el punto de partida es que el DPD es, entre otras funciones, el actor principal de la supervisión interna por lo que se refiere a cumplir y demostrar el cumplimiento en materia de protección de datos. Es así que, desde su origen, al DPD se le han asignado funciones relacionadas con la evaluación del riesgo que supone, para la persona física, el tratamiento de los datos personales, especialmente cuando este tratamiento puede entrañar o implicar un alto riesgo (4) .
I. ORIGEN Y DENOMINACIÓN DE LA FIGURA DEL DPD
En cuanto a las diferentes denominaciones que pueden encontrarse de esta figura en inglés, ya sea la de Data Protection Officer (DPO) o la de Data Protection Official, cabe señalar que el mismo podría tener varias traducciones al español que no sean la de delegado y que captarían mejor su esencia, significado y alcance, como las de directivo o gerente. Sin perjuicio de lo anterior y con la finalidad de evitar confusiones, seguiremos utilizando el término delegado de protección de datos (DPD) por ser la traducción de la Comisión Europea en la propuesta de Reglamento General de Protección de Datos (LA LEY 6637/2016) (5) , que finalmente se utiliza en la versión en español del Reglamento General de Protección de Datos (LA LEY 6637/2016) (6) (en adelante, RGPD).
Es decir, considerar las diferentes denominaciones, referencias normativas o de otra naturaleza, y las posibles traducciones al español de cada una de las mismas es una cuestión relevante que requiere atención a la hora de realizar un análisis del DPD. Esto debería permitir evitar posibles confusiones entre la figura del DPD y otras figuras similares así como con traducciones como la del «encargado de la protección de datos», utilizada en la Directiva 95/46/CE (LA LEY 5793/1995) (7) , ya derogada (8) , que fue la primera norma a nivel de la Unión Europea en incluir en su articulado al DPD, o la del «responsable de la protección de datos», utilizada en el Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000) relativo a la protección de datos personales en las instituciones y organismos de la Unión Europea (9) (en adelante, Reglamento (CE n.o 45/2001 (LA LEY 11164/2000))), que quedó derogado, a partir del 11 de diciembre de 2018, por Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018 (LA LEY 18401/2018), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000) y la Decisión n.o 1247/2002/CE (10) .
Considerando específicamente su origen normativo, al ser incluido por primera vez en la Ley Federal Alemana de Protección de Datos (Bundesdatenschutzgesetz, BDSG (11) ), de 27 de enero de 1977, es posible afirmar que el DPD es consustancial a la evolución del derecho fundamental a la protección de datos personales (12) . En este sentido, es importante prestar atención al hecho de que la figura es previa a los primeros instrumentos y Convenios internacionales en materia de protección de datos personales, por una parte, las Directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) sobre protección de la privacidad y flujos transfronterizos de datos personales (13) , y, por otra parte, el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, conocido también como el Convenio 108 del Consejo de Europa (14) , que fue actualizado en 2018.
Buena muestra de dicha evolución, a nivel internacional, tanto del derecho a la protección de datos personales como de la figura del DPD, es el hecho de que se incluyera una referencia expresa a esta última en la Recomendación del Consejo de la OCDE sobre la Cooperación Transfronteriza en el Cumplimiento de las Leyes de Protección de la Privacidad (2007) (15) , que en el apartado 3, dentro de la sección relativa a objetivos y ámbito de la Recomendación, hace referencia a que los DPD cumplen un rol o papel importante en la protección de la privacidad (16) a nivel internacional (17) . Y esto pone de manifiesto que desde el principio, hace varias décadas, las funciones esenciales del DPD estaban ya determinadas puesto que, como finalmente ha planteado el RGPD (LA LEY 6637/2016), el DPD es clave para demostrar el cumplimiento al que se llega cuando el responsable o el encargado del tratamiento, según el caso, adoptan medidas técnicas y organizativas adecuadas en virtud del principio de responsabilidad proactiva (en inglés, accountability).
Desde que fuera incluida, por primera vez, en la Ley Federal Alemana de Protección de Datos, de 27 de enero de 1977, bajo la denominación de Bundesbeauftragten für den Datenschutz, la figura, si bien con variaciones o, en su caso, una figura similar, se ha ido extendiendo alrededor del mundo conforme se han ido aprobando leyes y normas nacionales en materia de protección de datos personales y privacidad, así como en el caso de organizaciones internacionales. Un ejemplo claro de esta progresiva extensión es, en la Unión Europea, en un primer momento, a través de la ya citada Directiva 95/46/CE (LA LEY 5793/1995) (18) y, en el caso de las instituciones y organismos comunitarios, con el Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000) (19) . En un segundo momento, el actual, también en el ámbito de la Unión Europea, la designación del DPD en virtud del RGPD (LA LEY 6637/2016) es una obligación en determinados casos y bajo determinadas circunstancias, tanto en el sector público como en el privado, y lo es en todos los Estados miembros con independencia de que pudiera ser también exigible en virtud de otras normas del Derecho de la Unión Europea, tales como la Directiva (UE) 2016/680 (LA LEY 6638/2016) (20) , o nacional, como ocurre en España con la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos Personales y de garantía de derechos digitales (en adelante, LOPDGDD (LA LEY 19303/2018)) (21) .
II. CARGO INTERNO O EXTERNO
Es necesario profundizar también en la figura misma del DPD ya que, a pesar de que no es nueva, se plantean dudas o incertidumbres que requieren de respuestas claras. En este sentido, y entre otras, a pesar de que ya en el considerando 49 de la Directiva 95/46/CE (LA LEY 5793/1995) se explicaba que el DPD podía ser o no un empleado del responsable del tratamiento y de la referencia en el apartado 6 del artículo 37 del RGPD (LA LEY 6637/2016) a que «podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios», todavía surgen dudas sobre la interpretación de esta previsión al entender, erróneamente, que el DPD puede ser alguien ajeno, es decir, que no forma parte de la organización.
El Grupo de Trabajo del artículo 29, que se creó en virtud del citado artículo de la Directiva 95/46/CE (LA LEY 5793/1995) (22) y que dejó de existir como tal el 25 de mayo de 2018, fecha en la que comenzó su andadura el Comité Europeo de Protección de Datos, emitió unas directrices relevantes sobre la figura del DPD (23) que aclaran algunas dudas, si bien en este caso no van a resultar de gran ayuda al no pronunciarse sobre el alcance total de esta cuestión específica.
Al respecto, el Comité Europeo de Protección de Datos (en adelante, CEPD) (24) , al haber adoptado como propias las directrices publicadas por el Grupo de Trabajo del Artículo 29 sobre el RGPD (LA LEY 6637/2016), ha expresado que «[l]a función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento» (25) , sometiendo dicha posibilidad, por una parte, a que quien «ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD (LA LEY 6637/2016)» y, por otra parte, a que «esté protegido por las disposiciones del RGPD (LA LEY 6637/2016)» (26) . Es decir, incluso cuando el DPD pueda ser alguien externo, contratado sobre la base de un contrato de servicios, no es ajeno a la organización que le designa ya que esta tiene que asegurar su estatuto jurídico y cumplir con obligaciones relevantes en relación con el mismo.
III. EL DPD NO ES ENCARGADO NI RESPONSABLE DEL TRATAMIENTO
Lo anterior podría dar a lugar a dudar, como de hecho ha ocurrido, si en tal circunstancia, cuando desarrolla sus funciones sobre la base de un contrato de servicios, el DPD debe ser considerado como responsable o encargado del tratamiento (27) . Esta cuestión pone de manifiesto que sigue siendo necesaria la interpretación, o aclaración, de algunos aspectos de la normativa sobre protección de datos, ya sea por las autoridades competentes, tanto en materia de protección de datos como, en su caso, judiciales y/o la doctrina.
En particular, sobre esta cuestión, cabe posicionarse afirmando rotundamente que el DPD, aunque «sea externo» no es ni responsable ni encargado del tratamiento, ya que desde un punto de vista organizativo es quien, dentro de la organización, incluso cuando ha sido contratado sobre la base de un contrato de servicios, lo que da lugar a una relación mercantil en lugar de a un vínculo laboral, se encarga de realizar las funciones que tiene encomendadas. Es decir, el DPD, con independencia de cómo haya sido contratado, es quien en o dentro de la organización supervisa el cumplimiento de la normativa aplicable sobre protección de datos y desempeña las demás funciones que tenga encomendadas.
De no ser así, y utilizando el mismo criterio, habría que considerar que en algunos casos podría convertirse incluso en un corresponsable del tratamiento. O, en el caso de que fuera designado por el encargado de tratamiento y fuera ajeno, en el sentido que parece querer dársele conforme a algunas interpretaciones, se acabaría convirtiendo en un subencargado o encargado del tratamiento al que recurre el encargado del tratamiento inicial, que es quien lo designa por estar obligado a ello cuando se den los requisitos aplicables. Esto acabaría siendo ilógico (28) , en el sentido de excesivo, en la aplicación de la normativa sobre protección de datos, que además tendría un impacto económico relevante para las organizaciones, ya sean responsables o encargados del tratamiento. Además, una interpretación en este sentido dejaría sin efecto el criterio del CEPD sobre la obligación de aplicar al DPD externo el estatuto jurídico establecido en la Sección 4 del RGPD (LA LEY 6637/2016).
Es decir, considerar al DPD externo como responsable o encargado del tratamiento sería erróneo, ya que perdería, entre otras, la garantía de independencia prevista en el RGPD (LA LEY 6637/2016), sin perjuicio además de que un DPD que fuera contratado como encargado del tratamiento tendría que cumplir con las instrucciones del responsable del tratamiento, lo que es incompatible con su independencia. El DPD externo es, específicamente, quien no forma parte de la plantilla laboral de la organización, pero esto no significa que no sea parte de la organización, ya que está contratado sobre la base de un contrato de servicios que da lugar a una relación mercantil. No obstante, esto puede tener importantes implicaciones para el Derecho laboral.
En definitiva, lo relevante es que el DPD es la persona que en (dentro de) la organización y con independencia de cómo haya sido contratada, desempeña las funciones que, como mínimo, se le han encomendado en virtud del RGPD (LA LEY 6637/2016). Y el hecho de que acceda a datos personales no es relevante, ya que la atención debe centrarse en que proporcionar el acceso a los datos personales es una obligación de quien le ha designado para que pueda llevar a cabo sus funciones en la organización, no habiendo ni siquiera una decisión por el responsable del tratamiento de encomendar o encargar al DPD el tratamiento de los datos personales ya que se trata del desempeño de una función corporativa, es decir, en la organización.
IV. LA DESIGNACIÓN DEL DPD. CRITERIOS EN CASO DE DUDA SOBRE SU NECESIDAD
Sin perjuicio de lo anterior, el carácter laboral o no, sobre la base de un contrato de servicios, del DPD está unido también a la cuestión relativa a su designación, ya sea obligatoria o voluntaria. En el primer caso, es necesario tener en consideración que tiene que llevarse a cabo en los supuestos previstos en el apartado 1 del artículo 37 del RGPD (LA LEY 6637/2016), o cuando sea exigible en otros supuestos previstos en el Derecho de la Unión Europea, lo que ocurre por ejemplo en virtud de la Directiva (UE) 2016/680 (LA LEY 6638/2016) (29) o el Derecho nacional, debiendo prestar especial atención a la LOPDGDD (LA LEY 19303/2018), que trata, en su artículo 34, de aclarar o especificar lo dispuesto en el RGPD (LA LEY 6637/2016) para evitar dudas sobre los casos en los que, sin perjuicio de aquél, es obligatorio designar a un DPD (30) .
Y en los casos en los que pueda plantarse alguna duda sobre la necesidad o no de designar a un DPD, la organización deberá realizar una evaluación que quede documentada con la finalidad de demostrar que se ha actuado conforme al principio de responsabilidad proactiva. Al respecto, es una cuestión no tratada en el RGPD (LA LEY 6637/2016), pero a la que sí se ha referido el CEPD.
En relación con lo anterior, debe prestarse también atención a la designación formal del DPD, que, aunque no se prevea como requisito en el RGPD (LA LEY 6637/2016), es un instrumento relevante por lo que se refiere a garantizar su estatuto jurídico. La designación por escrito del DPD es esencial, y en relación con esta se puede, y en el caso de las Administraciones Públicas se debería, aprovechar la experiencia acumulada en el marco del Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000), en concreto por lo que respecta a la obligación, en virtud del apartado 8 del artículo 24, de adoptar las normas complementarias en las que, entre otras cuestiones, se establezcan las funciones del DPD y otras cuestiones relativas a su estatuto jurídico.
La designación del DPD, como obligación, implica también que deba atenderse a que los incumplimientos al respecto pueden ser objeto de sanción por la autoridad de protección de datos. En este sentido, las empresas, ya que las multas administrativas en España no son aplicables al sector público; que incumpliesen con sus obligaciones en relación con la designación del DPD y otras derivadas de su estatuto jurídico, podrían tener que afrontar una multa administrativa «de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía», por haber cometido la infracción prevista en el artículo 83.4.a) del RGPD (LA LEY 6637/2016). Sin perjuicio de otros ejemplos, como ha indicado Corral Sastre, es esta una de las «importantes novedades en materia de infracciones y sanciones sobre protección de datos» (31) .
V. INDEPENDENCIA DEL DPD
Una de las cuestiones más relevantes del estatuto jurídico del DPD es la relativa a su independencia, que ya estaba prevista en la Directiva 95/46/CE (LA LEY 5793/1995) cuando indicaba, en su considerando 49, que debería «ejercer sus funciones con total independencia». En particular, en el RGPD (LA LEY 6637/2016) (32) , a diferencia de la «total independencia» a la que se refería la citada Directiva 95/46/CE (LA LEY 5793/1995), se trata de una independencia funcional, siendo tanto una obligación de quien le ha designado en lo que se refiere a garantizar que no se produzca un conflicto de interés así como evitar injerencias en el desempeño de sus funciones; como una obligación del propio DPD.
De no ser así, se estaría en (grave) riesgo de no garantizar de manera efectiva el derecho fundamental a la protección de datos, ya que se habría neutralizado o dejado sin efecto una medida clave para supervisar internamente y de manera independiente el cumplimiento de la normativa aplicable, ya sea el Derecho de la Unión Europea o nacional, en materia de protección de datos.
Es necesario tener también en consideración que la obligación de independencia del DPD está prevista en el Derecho de la Unión Europea, de manera que al ser el RGPD (LA LEY 6637/2016) de aplicación directa, desplaza a la normativa nacional en virtud del principio de primacía de aquél. Y esto es especialmente relevante en el caso de las Administraciones Públicas, ya que la obligación de obediencia de los funcionarios va a quedar desplazada, en virtud del citado principio de primacía del Derecho de la Unión Europea, por lo que se refiere al desempeño de sus funciones como DPD. Es decir, no desplaza totalmente la obligación de obediencia de los funcionarios, sino únicamente en lo necesario para garantizar su independencia como DPDs, de manera que sigan cumpliendo con las obligaciones propias de su condición cuando no actúan como DPDs.
VI. FUNCIONES DEL DPD
Las funciones que, como mínimo (33) , tendrá el DPD son las que dan lugar a la relevancia de la figura y concretan su interrelación con el principio de responsabilidad proactiva, ya que la designación de aquél servirá para poder cumplir y demostrar el cumplimiento con la normativa aplicable sobre protección de datos personales. En cualquier caso, las funciones pueden dar lugar a tareas específicas y entenderse sin perjuicio de otras funciones que se puedan, o tengan que, asignar al DPD. Un ejemplo concreto en este sentido es que el DPD, en virtud del apartado 4 del artículo 38 del RGPD (LA LEY 6637/2016) (34) , tendrá que ser un interlocutor también para las personas físicas cuyos datos personales son objeto de tratamiento, lo que puede entenderse también como la referencia de la función adicional que se le asigna en virtud de la LOPDGDD (LA LEY 19303/2018) sobre su intervención en caso de reclamaciones y como paso previo a dirigirse a la Agencia Española de Protección de Datos o a la autoridad autonómica correspondiente.
VII. LA CERTIFICACIÓN DEL DPD
En cualquier caso, la realidad del DPD es que no es una profesión regulada. A diferencia de otras, la del DPD no es, al menos todavía, una profesión, siendo necesario que, al igual que en otros casos, se adopten medidas por las autoridades competentes para evitar riesgos y daños tanto a quienes recuren a contratar, de nuevo ya sea sobre la base de un contrato de trabajo o de un contrato de prestación de servicios, a un DPD, como a las personas físicas cuyos datos personales son objeto de tratamiento. Quien no reúne las condiciones necesarias para prestar un servicio con las garantías necesarias, que se concretan en los conocimientos y experiencia profesional requeridos en materia de protección de datos personales, representa un claro riesgo, además de un perjuicio para otros profesionales.
Actualmente, en la Unión Europea las profesiones se regulan tanto en virtud del Derecho de la Unión como nacional, siendo necesario que, en cualquier caso, se respeten los principios de la Unión de proporcionalidad y no discriminación. Esto implica que los Estados miembros no puedan imponer requisitos que limiten el acceso a una profesión regulada o a su ejercicio, tales como la posesión de determinadas cualificaciones profesionales, siendo relevante al respecto la publicación de la Directiva (UE) 2018/958 (LA LEY 11320/2018) que, garantizando los derechos fundamentales a la libertad profesional y a la libertad de empresa, tiene por objeto establecer un test de proporcionalidad antes de adoptar nuevas regulaciones de profesiones cuya finalidad es evitar diferencias entre los Estados miembros, de manera que se proteja así el buen funcionamiento del mercado interior y un elevado nivel de protección de los consumidores.
La prohibición de establecer requisitos adicionales es lo que ha llevado a la Agencia Española de Protección de Datos (en adelante, AEPD) a incidir, de manera reiterada, en que la certificación otorgada en virtud del Esquema de Certificación de Delegados de Protección de Datos (Esquema de Certificación AEPD-DPD) (35) es voluntaria. La AEPD ha sido la primera autoridad europea de protección de datos en crear una certificación para DPDs con la finalidad de «ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado» (36) .
Es necesario tener en consideración que es una certificación acreditada, distinguiéndose por tanto de las certificaciones no acreditadas en las que las entidades de certificación o certificadores no han sido evaluados por una entidad de acreditación. Y es una certificación acreditada porque sigue normas o estándares internacionales. Estas normas internacionales son la norma ISO/IEC 17065:2012 (37) , que tiene por objeto establecer los criterios generales a seguir por los organismos de certificación de productos, procesos y servicios, de manera que se evalúa su conformidad a través de su acreditación, y la norma UNE-EN ISO/IEC 17024:2012 (38) , cuyo objeto es «lograr y promover un marco de referencia, aceptado globalmente, para las organizaciones que realizan la certificación de personas», de manera que esta «es una de las formas de asegurar que la persona certificada cumple los requisitos del esquema de certificación».
La entidad de acreditación de los organismos de certificación o certificadores, en el caso de España, es la Entidad Nacional de Acreditación (ENAC), no pudiendo haber otra entidad de acreditación en virtud de lo dispuesto en el Reglamento (CE) núm. 765/2008 del Parlamento Europeo y el Consejo, de 9 de julio de 2008 (LA LEY 10380/2008), por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) núm. 339/1993 (LA LEY 4330/1993), que, en el apartado 1 de su artículo 4 prevé que «[c]ada Estado miembro designará a un único organismo nacional de acreditación».
No obstante, pueden suscitarse dudas al respecto en el caso de la certificación en protección de datos ya que el apartado 1 del artículo 43 del RGPD (LA LEY 6637/2016) indica que «[l]os Estados miembros garantizarán que dichos organismos de certificación sean acreditados por la autoridad o el organismo indicado a continuación, o por ambos», en referencia tanto al organismo nacional de acreditación como a la autoridad de control competente, lo que, en principio, supondría una contradicción con el Reglamento (CE) núm. 765/2008 (LA LEY 10380/2008).
Al margen de lo anterior hay que atender a que el Esquema de Certificación AEPD-DPD, que en menos de un año, desde que fuera publicado por primera vez en 2017, fue revisado hasta en tres ocasiones; establece los requisitos exigibles tanto a las entidades de certificación como a las personas candidatas o aspirantes a la certificación que se emite bajo el mencionado esquema de certificación. Aplicados a la persona candidata a la certificación, los requisitos exigidos se refieren tanto a sus conocimientos como a su experiencia profesional y, a tal fin, el esquema de certificación incluye los parámetros que deben seguirse por las entidades de certificación.
El Esquema de Certificación AEPD-DPD incluye también tanto los requisitos de la certificación como los aplicables para su obtención, mantenimiento y, en su caso, los supuestos en los que puede ser suspendida o, incluso, retirada.
En particular, cabría destacar dos cuestiones al respecto. Por una parte, que entre las obligaciones de las personas certificadas, que son objeto de apartado 6.8.2 del esquema, una de las mismas es la de «[m]antener un registro de reclamaciones recibidas en relación con el alcance de la certificación obtenida», lo que, en principio, la convertiría en responsable del tratamiento o, dependiendo de cómo fuese el tratamiento de los datos personales, en un encargado del tratamiento. Es una cuestión relevante, ya que supone una obligación que puede llegar a verse, por los aspirantes a la certificación, como una carga, especialmente si se compara con otras certificaciones no acreditadas. O, expresado, en otros términos, podría llegar a convertirse en una obligación disuasoria para quien quiere o va a certificarse.
Y, por otra parte, el Esquema de Certificación AEPD-DPD no contempla qué ocurriría en caso de desaparición o cese de actividad de una entidad de certificación.
Estas y otras cuestiones que pueden plantearse en relación con la certificación de los DPDs son también una oportunidad para plantear si se debería tener en consideración como una experiencia positiva (39) que pueda dar lugar, en su caso, a la creación de un sello europeo del DPD, en el seno del Comité Europeo de Protección de Datos, teniendo en consideración sus facultades en virtud del RGPD (LA LEY 6637/2016). Este sello podría servir para facilitar e impulsar el desarrollo de una actividad profesional, reforzando, si cabe, su estatuto jurídico, que es esencial para la garantía efectiva del derecho fundamental a la protección de datos personales.
VIII. RELEVANCIA INTERNACIONAL DE LA FIGURA
Dos décadas después de que se nombrase a los primeros DPDs en Alemania, en el caso de los Estados Unidos de América surgió también la figura del oficial de protección de datos (en inglés, Chief Privacy Officer o Privacy Officer), donde, en el sector público, en concreto en el caso de agencias federales, hay previsiones normativas sobre la misma, mientras que, en el sector privado se ha desarrollado en un marco de autorregulación que caracteriza la aproximación estadounidense a la privacidad y a la protección de datos personales, más como un derecho de los consumidores que como un derecho fundamental.
Es importante tener en consideración que la figura del DPD no siempre, es decir, no en todos los casos, ha sido un requisito normativo. El desarrollo de la figura a lo largo de los años, en particular desde la Directiva 95/46/CE (LA LEY 5793/1995), e incluso en las normativas nacionales existentes varían en el grado de reconocimiento y funciones de dicha figura (40) . No obstante, lo importante es que la figura se extiende cada vez más, lo que implica que, en el caso específico de España y otros países de la Unión Europea, así como en el Espacio Económico Europeo (EEE) (41) , sea necesario prestar atención a esta figura si se quiere seguir avanzando de manera comprometida hacia el objetivo de garantía efectiva del derecho fundamental a la protección de datos personales y, al mismo tiempo, evitar que muchos profesionales de la protección de datos queden relegados con respecto a otros en Estados miembros de la UE que sí cuentan con el respaldo de todas las partes involucradas.
La transcendencia internacional que ha adquirido la figura, aunque se trate de figuras similares a la europea, especialmente durante los últimos años, ha sido puesta de manifiesto por la OCDE, que en el Memorando explicativo suplementario de las Directrices de privacidad de la OCDE ha indicado que «los gerentes de privacidad pueden desempeñar un importante papel en el diseño e implementación de un programa de gestión de la privacidad» (42) , siendo necesario considerar que el DPD transciende a este papel, ya que el desempeño de sus funciones está dirigido a generar la confianza necesaria en la organización que trata los datos personales y, por tanto, es un pilar esencial de la garantía efectiva del derecho fundamental a la protección de datos.
IX. EL DPD FAVORECE LA COMPETITIVIDAD DE LAS EMPRESAS
Es decir, el DPD puede desempeñar múltiples y diversas funciones, debiendo prestar especial atención a que todas ellas están dirigidas a ayudar a la organización que le designa a gestionar el riesgo que, en su caso, pueda implicar el tratamiento de los datos personales. Al respecto, la Comisión Europea, al referirse a lo que supone el RGPD (LA LEY 6637/2016), ha expresado que este «pasa de un sistema de notificación al principio de responsabilidad proactiva», lo que se concreta, entre otras cuestiones, en que «se aplica a través de obligaciones graduales en función de los riesgos» como, por ejemplo, «la presencia de un delegado de protección de datos» (43) . Esto, unido a que en el apartado 2 del artículo 39 del RGPD (LA LEY 6637/2016) se indica que el DPD «desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento»; da lugar a que deba prestarse atención a que el DPD es una figura clave tanto por su papel en el gobierno corporativo de toda organización como en el desarrollo de la estrategia de la organización para ser innovadora y competitiva, en el caso del sector privado, o innovadora y eficiente, en el caso del sector público.
Lo anterior implica también que, específicamente en el caso del sector privado, el DPD es un habilitador de la transformación digital (44) , que es esencial para el crecimiento de la economía digital (45) y de los beneficios que puede tener para la sociedad digital, además del impacto que tenga cuando se trata de conseguir una Administración Pública eficiente (46) , donde el DPD desempeña también un importante papel y que requiere tener en consideración que, pese a la novedad de la figura, es necesario aprovechar la experiencia práctica que, en el caso de la Unión Europea, se ha producido en el ámbito de las instituciones y organismos, tales como la Comisión Europea, el Banco Central Europeo, el Parlamento Europeo o incluso el propio Supervisor Europeo de Protección de Datos, en virtud de la obligación de designación establecida en el ya citado Reglamento (CE) n.o 45/2001 (LA LEY 11164/2000).
En concreto, las funciones del DPD, que tiene atribuidas como mínimo, si se atiende al articulado del RGPD (LA LEY 6637/2016), o que puede tener atribuidas en su caso por quien le designa, son clave para que sea posible alcanzar una economía digital robusta y ética (47) cuando esta está basada, también, en los datos personales (48) .
No se trata, por tanto, de funciones dirigidas únicamente a cumplir y demostrar el cumplimiento de la organización que le designa, ya sea de manera obligatoria o voluntaria, sino de que dichas funciones sirvan para que el DPD pueda ayudar a la organización, actualmente, en la transición hacia la responsabilidad proactiva y, en paralelo o en el futuro, según se sea consciente del papel de esta figura, hacia una economía digital próspera y una Administración Pública eficiente en la que la que confíen las personas físicas cuyos datos personales son objeto de tratamiento.
En concreto, la importante función de supervisión del cumplimiento del DPD, que no es contraria a la innovación tecnológica, ya que es una garantía necesaria, es también parte de cualquier estrategia sobre la inteligencia artificial, que se basa en la obtención y disponibilidad de datos (49) , en particular cuando son personales; o de gobierno abierto (50) .
Precisamente esta naturaleza polifacética del DPD, salvando en cualquier caso las distancias entre este, por lo que se refiere al derecho fundamental a la protección de datos personales, y el oficial de privacidad (Privacy Officer o CPO), en cuanto al derecho a la privacidad, permite encontrar un nexo a nivel internacional puesto que la designación o nombramiento de personal (en inglés, staff) adecuado es esencial para supervisar y asegurar el cumplimiento de cualquier organización, pública o privada, en materia de protección de datos o privacidad. Es, por tanto, un elemento esencial y común a sistemas basados en las normas corporativas vinculantes (en inglés, Binding Corporate Rules, BCRs) europeas y al sistema de reglas de privacidad transfronteriza (en inglés, Cross Border Privacy Rules System, CBPR) del Foro Económico Asia-Pacífico (en inglés, Asia-Pacific Economic Forum, APEC) (51) .
Las diferencias entre el DPD y el CPO pueden servir, al mismo tiempo, para poder explicar la diferencia entre los conceptos de privacidad o vida privada y de protección de datos personales. Es así que la privacidad (en inglés, «privacy») o vida privada (en inglés, «private life») «debería ser entendida no en el sentido tradicional de una esfera privada que debe ser protegida y que contiene un conjunto de información privada, o incluso confidencial, que debe permanecer secreta, sino más bien como el derecho a la autodeterminación y autonomía de la capacidad de una persona de hacer elecciones existenciales. Aquí hablamos, de manera más específica, sobre la autodeterminación informativa, es decir, de los derechos de las personas "a saber lo que se sabe sobre ellas", estar informadas de la información almacenada sobre las mismas, controlar cómo es comunicada y prevenir su abuso. Por tanto, la privacidad no se limita a la búsqueda de la confidencialidad; es el control de la persona sobre su imagen en términos de información» (52) . Por su parte, la protección de datos personales «deriva del derecho a la privacidad a través del derecho a la autodeterminación» (53) . Y este último derecho es un derecho humano fundamental y autónomo, lo que se concreta y plasma en el hecho de que la Carta de los Derechos Fundamentales le haya dedicado un artículo específico.
Es necesario, por tanto, atender a las diversas cuestiones que se plantean en relación con el DPD, partiendo de su evolución normativa, para, en particular, considerar el papel que puede tener en el desarrollo de una economía digital robusta y ética así como de una Administración Pública eficiente, lo que va más allá de una función consistente en la supervisión interna del cumplimiento que permita a quien le designa, ya sea responsable o encargado del tratamiento, demostrar este cumplimiento que, a su vez, está vinculado con generar la confianza necesaria.
X. LA NECESIDAD DE UN ESTATUTO JURÍDICO PARA EL DPD
Es así que, en última instancia, se plantea la necesidad de un estatuto jurídico íntegro del DPD, en el que se desarrollen todas las cuestiones que se plantean en relación con esta figura para dar certeza jurídica a todas las partes interesadas y, refuerza a esta figura, evitando una competencia desleal y divergencias en los Estados miembros que impedirían alcanzar el objetivo de garantizar de manera efectiva el derecho fundamental a la protección de datos. En concreto, este estatuto jurídico debería ampliar, sustancialmente, las previsiones del RGPD (LA LEY 6637/2016) dando respuesta a diversas interrogantes que son resultado de previsiones limitadas o de la ausencia de previsiones sobre el DPD, con independencia de cómo sea contratado.
En definitiva, se trata de fomentar la figura del DPD, lo que podría hacerse, en particular, a través de un estatuto jurídico íntegro que incluya también un sello europeo. De esta manera, a través de una aproximación europea y no meramente nacional, se conseguiría un tratamiento adecuado de una figura que es clave en el modelo europeo de protección de datos al que ha dado lugar, en particular, el RGPD (LA LEY 6637/2016).
Para saber más:
El estatuto jurídico del Data Protection Officer, Miguel Recio Gayo, La Ley - Wolters Kluwer, 2019, ISBN: 978-84-9020-598-3.
https://tienda.wolterskluwer.es/p/el-estatuto-juridico-del-data-protection-officer