Volver a página de inicio

El estatuto jurídico del Data Protection Officer

Miguel Recio Gayo

Doctor en Derecho

Diario La Ley, Nº 27, Sección Ciberderecho, 15 de Marzo de 2019, Wolters Kluwer

LA LEY 4387/2019

Si las autoridades de control o supervisión en protección de datos «son las guardianas de los […] derechos y libertades fundamentales […] en lo que respecta al tratamiento de datos personales» (1) , el que podemos denominar como delegado de protección de datos (en adelante DPD) (2) , actúa, al respecto y entre otras funciones que puede desempeñar, como la conciencia de la organización (3) , con independencia de que sea esta privada o pública y de que trate datos personales como responsable o encargado del tratamiento.

Esto significa que el punto de partida es que el DPD es, entre otras funciones, el actor principal de la supervisión interna por lo que se refiere a cumplir y demostrar el cumplimiento en materia de protección de datos. Es así que, desde su origen, al DPD se le han asignado funciones relacionadas con la evaluación del riesgo que supone, para la persona física, el tratamiento de los datos personales, especialmente cuando este tratamiento puede entrañar o implicar un alto riesgo (4) .

I. ORIGEN Y DENOMINACIÓN DE LA FIGURA DEL DPD

En cuanto a las diferentes denominaciones que pueden encontrarse de esta figura en inglés, ya sea la de Data Protection Officer (DPO) o la de Data Protection Official, cabe señalar que el mismo podría tener varias traducciones al español que no sean la de delegado y que captarían mejor su esencia, significado y alcance, como las de directivo o gerente. Sin perjuicio de lo anterior y con la finalidad de evitar confusiones, seguiremos utilizando el término delegado de protección de datos (DPD) por ser la traducción de la Comisión Europea en la propuesta de Reglamento General de Protección de Datos (LA LEY 6637/2016) (5) , que finalmente se utiliza en la versión en español del Reglamento General de Protección de Datos (LA LEY 6637/2016) (6) (en adelante, RGPD).

Es decir, considerar las diferentes denominaciones, referencias normativas o de otra naturaleza, y las posibles traducciones al español de cada una de las mismas es una cuestión relevante que requiere atención a la hora de realizar un análisis del DPD. Esto debería permitir evitar posibles confusiones entre la figura del DPD y otras figuras similares así como con traducciones como la del «encargado de la protección de datos», utilizada en la Directiva 95/46/CE (LA LEY 5793/1995) (7) , ya derogada (8) , que fue la primera norma a nivel de la Unión Europea en incluir en su articulado al DPD, o la del «responsable de la protección de datos», utilizada en el Reglamento (CE) n.^o 45/2001 (LA LEY 11164/2000) relativo a la protección de datos personales en las instituciones y organismos de la Unión Europea (9) (en adelante, Reglamento (CE n.^o 45/2001 (LA LEY 11164/2000))), que quedó derogado, a partir del 11 de diciembre de 2018, por Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018 (LA LEY 18401/2018), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 (LA LEY 11164/2000) y la Decisión n.^o 1247/2002/CE (10) .

Considerando específicamente su origen normativo, al ser incluido por primera vez en la Ley Federal Alemana de Protección de Datos (Bundesdatenschutzgesetz, BDSG (11) ), de 27 de enero de 1977, es posible afirmar que el DPD es consustancial a la evolución del derecho fundamental a la protección de datos personales (12) . En este sentido, es importante prestar atención al hecho de que la figura es previa a los primeros instrumentos y Convenios internacionales en materia de protección de datos personales, por una parte, las Directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) sobre protección de la privacidad y flujos transfronterizos de datos personales (13) , y, por otra parte, el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, conocido también como el Convenio 108 del Consejo de Europa (14) , que fue actualizado en 2018.

Buena muestra de dicha evolución, a nivel internacional, tanto del derecho a la protección de datos personales como de la figura del DPD, es el hecho de que se incluyera una referencia expresa a esta última en la Recomendación del Consejo de la OCDE sobre la Cooperación Transfronteriza en el Cumplimiento de las Leyes de Protección de la Privacidad (2007) (15) , que en el apartado 3, dentro de la sección relativa a objetivos y ámbito de la Recomendación, hace referencia a que los DPD cumplen un rol o papel importante en la protección de la privacidad (16) a nivel internacional (17) . Y esto pone de manifiesto que desde el principio, hace varias décadas, las funciones esenciales del DPD estaban ya determinadas puesto que, como finalmente ha planteado el RGPD (LA LEY 6637/2016), el DPD es clave para demostrar el cumplimiento al que se llega cuando el responsable o el encargado del tratamiento, según el caso, adoptan medidas técnicas y organizativas adecuadas en virtud del principio de responsabilidad proactiva (en inglés, accountability).

Desde que fuera incluida, por primera vez, en la Ley Federal Alemana de Protección de Datos, de 27 de enero de 1977, bajo la denominación de Bundesbeauftragten für den Datenschutz, la figura, si bien con variaciones o, en su caso, una figura similar, se ha ido extendiendo alrededor del mundo conforme se han ido aprobando leyes y normas nacionales en materia de protección de datos personales y privacidad, así como en el caso de organizaciones internacionales. Un ejemplo claro de esta progresiva extensión es, en la Unión Europea, en un primer momento, a través de la ya citada Directiva 95/46/CE (LA LEY 5793/1995) (18) y, en el caso de las instituciones y organismos comunitarios, con el Reglamento (CE) n.^o 45/2001 (LA LEY 11164/2000) (19) . En un segundo momento, el actual, también en el ámbito de la Unión Europea, la designación del DPD en virtud del RGPD (LA LEY 6637/2016) es una obligación en determinados casos y bajo determinadas circunstancias, tanto en el sector público como en el privado, y lo es en todos los Estados miembros con independencia de que pudiera ser también exigible en virtud de otras normas del Derecho de la Unión Europea, tales como la Directiva (UE) 2016/680 (LA LEY 6638/2016) (20) , o nacional, como ocurre en España con la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos Personales y de garantía de derechos digitales (en adelante, LOPDGDD (LA LEY 19303/2018)) (21) .

II. CARGO INTERNO O EXTERNO

Es necesario profundizar también en la figura misma del DPD ya que, a pesar de que no es nueva, se plantean dudas o incertidumbres que requieren de respuestas claras. En este sentido, y entre otras, a pesar de que ya en el considerando 49 de la Directiva 95/46/CE (LA LEY 5793/1995) se explicaba que el DPD podía ser o no un empleado del responsable del tratamiento y de la referencia en el apartado 6 del artículo 37 del RGPD (LA LEY 6637/2016) a que «podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios», todavía surgen dudas sobre la interpretación de esta previsión al entender, erróneamente, que el DPD puede ser alguien ajeno, es decir, que no forma parte de la organización.

El Grupo de Trabajo del artículo 29, que se creó en virtud del citado artículo de la Directiva 95/46/CE (LA LEY 5793/1995) (22) y que dejó de existir como tal el 25 de mayo de 2018, fecha en la que comenzó su andadura el Comité Europeo de Protección de Datos, emitió unas directrices relevantes sobre la figura del DPD (23) que aclaran algunas dudas, si bien en este caso no van a resultar de gran ayuda al no pronunciarse sobre el alcance total de esta cuestión específica.

Al respecto, el Comité Europeo de Protección de Datos (en adelante, CEPD) (24) , al haber adoptado como propias las directrices publicadas por el Grupo de Trabajo del Artículo 29 sobre el RGPD (LA LEY 6637/2016), ha expresado que «[l]a función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento» (25) , sometiendo dicha posibilidad, por una parte, a que quien «ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD (LA LEY 6637/2016)» y, por otra parte, a que «esté protegido por las disposiciones del RGPD (LA LEY 6637/2016)» (26) . Es decir, incluso cuando el DPD pueda ser alguien externo, contratado sobre la base de un contrato de servicios, no es ajeno a la organización que le designa ya que esta tiene que asegurar su estatuto jurídico y cumplir con obligaciones relevantes en relación con el mismo.

III. EL DPD NO ES ENCARGADO NI RESPONSABLE DEL TRATAMIENTO

Lo anterior podría dar a lugar a dudar, como de hecho ha ocurrido, si en tal circunstancia, cuando desarrolla sus funciones sobre la base de un contrato de servicios, el DPD debe ser considerado como responsable o encargado del tratamiento (27) . Esta cuestión pone de manifiesto que sigue siendo necesaria la interpretación, o aclaración, de algunos aspectos de la normativa sobre protección de datos, ya sea por las autoridades competentes, tanto en materia de protección de datos como, en su caso, judiciales y/o la doctrina.

En particular, sobre esta cuestión, cabe posicionarse afirmando rotundamente que el DPD, aunque «sea externo» no es ni responsable ni encargado del tratamiento, ya que desde un punto de vista organizativo es quien, dentro de la organización, incluso cuando ha sido contratado sobre la base de un contrato de servicios, lo que da lugar a una relación mercantil en lugar de a un vínculo laboral, se encarga de realizar las funciones que tiene encomendadas. Es decir, el DPD, con independencia de cómo haya sido contratado, es quien en o dentro de la organización supervisa el cumplimiento de la normativa aplicable sobre protección de datos y desempeña las demás funciones que tenga encomendadas.

De no ser así, y utilizando el mismo criterio, habría que considerar que en algunos casos podría convertirse incluso en un corresponsable del tratamiento. O, en el caso de que fuera designado por el encargado de tratamiento y fuera ajeno, en el sentido que parece querer dársele conforme a algunas interpretaciones, se acabaría convirtiendo en un subencargado o encargado del tratamiento al que recurre el encargado del tratamiento inicial, que es quien lo designa por estar obligado a ello cuando se den los requisitos aplicables. Esto acabaría siendo ilógico (28) , en el sentido de excesivo, en la aplicación de la normativa sobre protección de datos, que además tendría un impacto económico relevante para las organizaciones, ya sean responsables o encargados del tratamiento. Además, una interpretación en este sentido dejaría sin efecto el criterio del CEPD sobre la obligación de aplicar al DPD externo el estatuto jurídico establecido en la Sección 4 del RGPD (LA LEY 6637/2016).

Es decir, considerar al DPD externo como responsable o encargado del tratamiento sería erróneo, ya que perdería, entre otras, la garantía de independencia prevista en el RGPD (LA LEY 6637/2016), sin perjuicio además de que un DPD que fuera contratado como encargado del tratamiento tendría que cumplir con las instrucciones del responsable del tratamiento, lo que es incompatible con su independencia. El DPD externo es, específicamente, quien no forma parte de la plantilla laboral de la organización, pero esto no significa que no sea parte de la organización, ya que está contratado sobre la base de un contrato de servicios que da lugar a una relación mercantil. No obstante, esto puede tener importantes implicaciones para el Derecho laboral.

En definitiva, lo relevante es que el DPD es la persona que en (dentro de) la organización y con independencia de cómo haya sido contratada, desempeña las funciones que, como mínimo, se le han encomendado en virtud del RGPD (LA LEY 6637/2016). Y el hecho de que acceda a datos personales no es relevante, ya que la atención debe centrarse en que proporcionar el acceso a los datos personales es una obligación de quien le ha designado para que pueda llevar a cabo sus funciones en la organización, no habiendo ni siquiera una decisión por el responsable del tratamiento de encomendar o encargar al DPD el tratamiento de los datos personales ya que se trata del desempeño de una función corporativa, es decir, en la organización.

IV. LA DESIGNACIÓN DEL DPD. CRITERIOS EN CASO DE DUDA SOBRE SU NECESIDAD

Sin perjuicio de lo anterior, el carácter laboral o no, sobre la base de un contrato de servicios, del DPD está unido también a la cuestión relativa a su designación, ya sea obligatoria o voluntaria. En el primer caso, es necesario tener en consideración que tiene que llevarse a cabo en los supuestos previstos en el apartado 1 del artículo 37 del RGPD (LA LEY 6637/2016), o cuando sea exigible en otros supuestos previstos en el Derecho de la Unión Europea, lo que ocurre por ejemplo en virtud de la Directiva (UE) 2016/680 (LA LEY 6638/2016) (29) o el Derecho nacional, debiendo prestar especial atención a la LOPDGDD (LA LEY 19303/2018), que trata, en su artículo 34, de aclarar o especificar lo dispuesto en el RGPD (LA LEY 6637/2016) para evitar dudas sobre los casos en los que, sin perjuicio de aquél, es obligatorio designar a un DPD (30) .

Y en los casos en los que pueda plantarse alguna duda sobre la necesidad o no de designar a un DPD, la organización deberá realizar una evaluación que quede documentada con la finalidad de demostrar que se ha actuado conforme al principio de responsabilidad proactiva. Al respecto, es una cuestión no tratada en el RGPD (LA LEY 6637/2016), pero a la que sí se ha referido el CEPD.

En relación con lo anterior, debe prestarse también atención a la designación formal del DPD, que, aunque no se prevea como requisito en el RGPD (LA LEY 6637/2016), es un instrumento relevante por lo que se refiere a garantizar su estatuto jurídico. La designación por escrito del DPD es esencial, y en relación con esta se puede, y en el caso de las Administraciones Públicas se debería, aprovechar la experiencia acumulada en el marco del Reglamento (CE) n.^o 45/2001 (LA LEY 11164/2000), en concreto por lo que respecta a la obligación, en virtud del apartado 8 del artículo 24, de adoptar las normas complementarias en las que, entre otras cuestiones, se establezcan las funciones del DPD y otras cuestiones relativas a su estatuto jurídico.

La designación del DPD, como obligación, implica también que deba atenderse a que los incumplimientos al respecto pueden ser objeto de sanción por la autoridad de protección de datos. En este sentido, las empresas, ya que las multas administrativas en España no son aplicables al sector público; que incumpliesen con sus obligaciones en relación con la designación del DPD y otras derivadas de su estatuto jurídico, podrían tener que afrontar una multa administrativa «de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía», por haber cometido la infracción prevista en el artículo 83.4.a) del RGPD (LA LEY 6637/2016). Sin perjuicio de otros ejemplos, como ha indicado Corral Sastre, es esta una de las «importantes novedades en materia de infracciones y sanciones sobre protección de datos» (31) .

V. INDEPENDENCIA DEL DPD

Una de las cuestiones más relevantes del estatuto jurídico del DPD es la relativa a su independencia, que ya estaba prevista en la Directiva 95/46/CE (LA LEY 5793/1995) cuando indicaba, en su considerando 49, que debería «ejercer sus funciones con total independencia». En particular, en el RGPD (LA LEY 6637/2016) (32) , a diferencia de la «total independencia» a la que se refería la citada Directiva 95/46/CE (LA LEY 5793/1995), se trata de una independencia funcional, siendo tanto una obligación de quien le ha designado en lo que se refiere a garantizar que no se produzca un conflicto de interés así como evitar injerencias en el desempeño de sus funciones; como una obligación del propio DPD.

De no ser así, se estaría en (grave) riesgo de no garantizar de manera efectiva el derecho fundamental a la protección de datos, ya que se habría neutralizado o dejado sin efecto una medida clave para supervisar internamente y de manera independiente el cumplimiento de la normativa aplicable, ya sea el Derecho de la Unión Europea o nacional, en materia de protección de datos.

Es necesario tener también en consideración que la obligación de independencia del DPD está prevista en el Derecho de la Unión Europea, de manera que al ser el RGPD (LA LEY 6637/2016) de aplicación directa, desplaza a la normativa nacional en virtud del principio de primacía de aquél. Y esto es especialmente relevante en el caso de las Administraciones Públicas, ya que la obligación de obediencia de los funcionarios va a quedar desplazada, en virtud del citado principio de primacía del Derecho de la Unión Europea, por lo que se refiere al desempeño de sus funciones como DPD. Es decir, no desplaza totalmente la obligación de obediencia de los funcionarios, sino únicamente en lo necesario para garantizar su independencia como DPDs, de manera que sigan cumpliendo con las obligaciones propias de su condición cuando no actúan como DPDs.

VI. FUNCIONES DEL DPD

Las funciones que, como mínimo (33) , tendrá el DPD son las que dan lugar a la relevancia de la figura y concretan su interrelación con el principio de responsabilidad proactiva, ya que la designación de aquél servirá para poder cumplir y demostrar el cumplimiento con la normativa aplicable sobre protección de datos personales. En cualquier caso, las funciones pueden dar lugar a tareas específicas y entenderse sin perjuicio de otras funciones que se puedan, o tengan que, asignar al DPD. Un ejemplo concreto en este sentido es que el DPD, en virtud del apartado 4 del artículo 38 del RGPD (LA LEY 6637/2016) (34) , tendrá que ser un interlocutor también para las personas físicas cuyos datos personales son objeto de tratamiento, lo que puede entenderse también como la referencia de la función adicional que se le asigna en virtud de la LOPDGDD (LA LEY 19303/2018) sobre su intervención en caso de reclamaciones y como paso previo a dirigirse a la Agencia Española de Protección de Datos o a la autoridad autonómica correspondiente.

VII. LA CERTIFICACIÓN DEL DPD

En cualquier caso, la realidad del DPD es que no es una profesión regulada. A diferencia de otras, la del DPD no es, al menos todavía, una profesión, siendo necesario que, al igual que en otros casos, se adopten medidas por las autoridades competentes para evitar riesgos y daños tanto a quienes recuren a contratar, de nuevo ya sea sobre la base de un contrato de trabajo o de un contrato de prestación de servicios, a un DPD, como a las personas físicas cuyos datos personales son objeto de tratamiento. Quien no reúne las condiciones necesarias para prestar un servicio con las garantías necesarias, que se concretan en los conocimientos y experiencia profesional requeridos en materia de protección de datos personales, representa un claro riesgo, además de un perjuicio para otros profesionales.

Actualmente, en la Unión Europea las profesiones se regulan tanto en virtud del Derecho de la Unión como nacional, siendo necesario que, en cualquier caso, se respeten los principios de la Unión de proporcionalidad y no discriminación. Esto implica que los Estados miembros no puedan imponer requisitos que limiten el acceso a una profesión regulada o a su ejercicio, tales como la posesión de determinadas cualificaciones profesionales, siendo relevante al respecto la publicación de la Directiva (UE) 2018/958 (LA LEY 11320/2018) que, garantizando los derechos fundamentales a la libertad profesional y a la libertad de empresa, tiene por objeto establecer un test de proporcionalidad antes de adoptar nuevas regulaciones de profesiones cuya finalidad es evitar diferencias entre los Estados miembros, de manera que se proteja así el buen funcionamiento del mercado interior y un elevado nivel de protección de los consumidores.

La prohibición de establecer requisitos adicionales es lo que ha llevado a la Agencia Española de Protección de Datos (en adelante, AEPD) a incidir, de manera reiterada, en que la certificación otorgada en virtud del Esquema de Certificación de Delegados de Protección de Datos (Esquema de Certificación AEPD-DPD) (35) es voluntaria. La AEPD ha sido la primera autoridad europea de protección de datos en crear una certificación para DPDs con la finalidad de «ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado» (36) .

Es necesario tener en consideración que es una certificación acreditada, distinguiéndose por tanto de las certificaciones no acreditadas en las que las entidades de certificación o certificadores no han sido evaluados por una entidad de acreditación. Y es una certificación acreditada porque sigue normas o estándares internacionales. Estas normas internacionales son la norma ISO/IEC 17065:2012 (37) , que tiene por objeto establecer los criterios generales a seguir por los organismos de certificación de productos, procesos y servicios, de manera que se evalúa su conformidad a través de su acreditación, y la norma UNE-EN ISO/IEC 17024:2012 (38) , cuyo objeto es «lograr y promover un marco de referencia, aceptado globalmente, para las organizaciones que realizan la certificación de personas», de manera que esta «es una de las formas de asegurar que la persona certificada cumple los requisitos del esquema de certificación».

La entidad de acreditación de los organismos de certificación o certificadores, en el caso de España, es la Entidad Nacional de Acreditación (ENAC), no pudiendo haber otra entidad de acreditación en virtud de lo dispuesto en el Reglamento (CE) núm. 765/2008 del Parlamento Europeo y el Consejo, de 9 de julio de 2008 (LA LEY 10380/2008), por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) núm. 339/1993 (LA LEY 4330/1993), que, en el apartado 1 de su artículo 4 prevé que «[c]ada Estado miembro designará a un único organismo nacional de acreditación».

No obstante, pueden suscitarse dudas al respecto en el caso de la certificación en protección de datos ya que el apartado 1 del artículo 43 del RGPD (LA LEY 6637/2016) indica que «[l]os Estados miembros garantizarán que dichos organismos de certificación sean acreditados por la autoridad o el organismo indicado a continuación, o por ambos», en referencia tanto al organismo nacional de acreditación como a la autoridad de control competente, lo que, en principio, supondría una contradicción con el Reglamento (CE) núm. 765/2008 (LA LEY 10380/2008).

Al margen de lo anterior hay que atender a que el Esquema de Certificación AEPD-DPD, que en menos de un año, desde que fuera publicado por primera vez en 2017, fue revisado hasta en tres ocasiones; establece los requisitos exigibles tanto a las entidades de certificación como a las personas candidatas o aspirantes a la certificación que se emite bajo el mencionado esquema de certificación. Aplicados a la persona candidata a la certificación, los requisitos exigidos se refieren tanto a sus conocimientos como a su experiencia profesional y, a tal fin, el esquema de certificación incluye los parámetros que deben seguirse por las entidades de certificación.

El Esquema de Certificación AEPD-DPD incluye también tanto los requisitos de la certificación como los aplicables para su obtención, mantenimiento y, en su caso, los supuestos en los que puede ser suspendida o, incluso, retirada.

En particular, cabría destacar dos cuestiones al respecto. Por una parte, que entre las obligaciones de las personas certificadas, que son objeto de apartado 6.8.2 del esquema, una de las mismas es la de «[m]antener un registro de reclamaciones recibidas en relación con el alcance de la certificación obtenida», lo que, en principio, la convertiría en responsable del tratamiento o, dependiendo de cómo fuese el tratamiento de los datos personales, en un encargado del tratamiento. Es una cuestión relevante, ya que supone una obligación que puede llegar a verse, por los aspirantes a la certificación, como una carga, especialmente si se compara con otras certificaciones no acreditadas. O, expresado, en otros términos, podría llegar a convertirse en una obligación disuasoria para quien quiere o va a certificarse.

Y, por otra parte, el Esquema de Certificación AEPD-DPD no contempla qué ocurriría en caso de desaparición o cese de actividad de una entidad de certificación.

Estas y otras cuestiones que pueden plantearse en relación con la certificación de los DPDs son también una oportunidad para plantear si se debería tener en consideración como una experiencia positiva (39) que pueda dar lugar, en su caso, a la creación de un sello europeo del DPD, en el seno del Comité Europeo de Protección de Datos, teniendo en consideración sus facultades en virtud del RGPD (LA LEY 6637/2016). Este sello podría servir para facilitar e impulsar el desarrollo de una actividad profesional, reforzando, si cabe, su estatuto jurídico, que es esencial para la garantía efectiva del derecho fundamental a la protección de datos personales.

VIII. RELEVANCIA INTERNACIONAL DE LA FIGURA

Dos décadas después de que se nombrase a los primeros DPDs en Alemania, en el caso de los Estados Unidos de América surgió también la figura del oficial de protección de datos (en inglés, Chief Privacy Officer o Privacy Officer), donde, en el sector público, en concreto en el caso de agencias federales, hay previsiones normativas sobre la misma, mientras que, en el sector privado se ha desarrollado en un marco de autorregulación que caracteriza la aproximación estadounidense a la privacidad y a la protección de datos personales, más como un derecho de los consumidores que como un derecho fundamental.

Es importante tener en consideración que la figura del DPD no siempre, es decir, no en todos los casos, ha sido un requisito normativo. El desarrollo de la figura a lo largo de los años, en particular desde la Directiva 95/46/CE (LA LEY 5793/1995), e incluso en las normativas nacionales existentes varían en el grado de reconocimiento y funciones de dicha figura (40) . No obstante, lo importante es que la figura se extiende cada vez más, lo que implica que, en el caso específico de España y otros países de la Unión Europea, así como en el Espacio Económico Europeo (EEE) (41) , sea necesario prestar atención a esta figura si se quiere seguir avanzando de manera comprometida hacia el objetivo de garantía efectiva del derecho fundamental a la protección de datos personales y, al mismo tiempo, evitar que muchos profesionales de la protección de datos queden relegados con respecto a otros en Estados miembros de la UE que sí cuentan con el respaldo de todas las partes involucradas.

La transcendencia internacional que ha adquirido la figura, aunque se trate de figuras similares a la europea, especialmente durante los últimos años, ha sido puesta de manifiesto por la OCDE, que en el Memorando explicativo suplementario de las Directrices de privacidad de la OCDE ha indicado que «los gerentes de privacidad pueden desempeñar un importante papel en el diseño e implementación de un programa de gestión de la privacidad» (42) , siendo necesario considerar que el DPD transciende a este papel, ya que el desempeño de sus funciones está dirigido a generar la confianza necesaria en la organización que trata los datos personales y, por tanto, es un pilar esencial de la garantía efectiva del derecho fundamental a la protección de datos.

IX. EL DPD FAVORECE LA COMPETITIVIDAD DE LAS EMPRESAS

Es decir, el DPD puede desempeñar múltiples y diversas funciones, debiendo prestar especial atención a que todas ellas están dirigidas a ayudar a la organización que le designa a gestionar el riesgo que, en su caso, pueda implicar el tratamiento de los datos personales. Al respecto, la Comisión Europea, al referirse a lo que supone el RGPD (LA LEY 6637/2016), ha expresado que este «pasa de un sistema de notificación al principio de responsabilidad proactiva», lo que se concreta, entre otras cuestiones, en que «se aplica a través de obligaciones graduales en función de los riesgos» como, por ejemplo, «la presencia de un delegado de protección de datos» (43) . Esto, unido a que en el apartado 2 del artículo 39 del RGPD (LA LEY 6637/2016) se indica que el DPD «desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento»; da lugar a que deba prestarse atención a que el DPD es una figura clave tanto por su papel en el gobierno corporativo de toda organización como en el desarrollo de la estrategia de la organización para ser innovadora y competitiva, en el caso del sector privado, o innovadora y eficiente, en el caso del sector público.

Lo anterior implica también que, específicamente en el caso del sector privado, el DPD es un habilitador de la transformación digital (44) , que es esencial para el crecimiento de la economía digital (45) y de los beneficios que puede tener para la sociedad digital, además del impacto que tenga cuando se trata de conseguir una Administración Pública eficiente (46) , donde el DPD desempeña también un importante papel y que requiere tener en consideración que, pese a la novedad de la figura, es necesario aprovechar la experiencia práctica que, en el caso de la Unión Europea, se ha producido en el ámbito de las instituciones y organismos, tales como la Comisión Europea, el Banco Central Europeo, el Parlamento Europeo o incluso el propio Supervisor Europeo de Protección de Datos, en virtud de la obligación de designación establecida en el ya citado Reglamento (CE) n.^o 45/2001 (LA LEY 11164/2000).

En concreto, las funciones del DPD, que tiene atribuidas como mínimo, si se atiende al articulado del RGPD (LA LEY 6637/2016), o que puede tener atribuidas en su caso por quien le designa, son clave para que sea posible alcanzar una economía digital robusta y ética (47) cuando esta está basada, también, en los datos personales (48) .

No se trata, por tanto, de funciones dirigidas únicamente a cumplir y demostrar el cumplimiento de la organización que le designa, ya sea de manera obligatoria o voluntaria, sino de que dichas funciones sirvan para que el DPD pueda ayudar a la organización, actualmente, en la transición hacia la responsabilidad proactiva y, en paralelo o en el futuro, según se sea consciente del papel de esta figura, hacia una economía digital próspera y una Administración Pública eficiente en la que la que confíen las personas físicas cuyos datos personales son objeto de tratamiento.

En concreto, la importante función de supervisión del cumplimiento del DPD, que no es contraria a la innovación tecnológica, ya que es una garantía necesaria, es también parte de cualquier estrategia sobre la inteligencia artificial, que se basa en la obtención y disponibilidad de datos (49) , en particular cuando son personales; o de gobierno abierto (50) .

Precisamente esta naturaleza polifacética del DPD, salvando en cualquier caso las distancias entre este, por lo que se refiere al derecho fundamental a la protección de datos personales, y el oficial de privacidad (Privacy Officer o CPO), en cuanto al derecho a la privacidad, permite encontrar un nexo a nivel internacional puesto que la designación o nombramiento de personal (en inglés, staff) adecuado es esencial para supervisar y asegurar el cumplimiento de cualquier organización, pública o privada, en materia de protección de datos o privacidad. Es, por tanto, un elemento esencial y común a sistemas basados en las normas corporativas vinculantes (en inglés, Binding Corporate Rules, BCRs) europeas y al sistema de reglas de privacidad transfronteriza (en inglés, Cross Border Privacy Rules System, CBPR) del Foro Económico Asia-Pacífico (en inglés, Asia-Pacific Economic Forum, APEC) (51) .

Las diferencias entre el DPD y el CPO pueden servir, al mismo tiempo, para poder explicar la diferencia entre los conceptos de privacidad o vida privada y de protección de datos personales. Es así que la privacidad (en inglés, «privacy») o vida privada (en inglés, «private life») «debería ser entendida no en el sentido tradicional de una esfera privada que debe ser protegida y que contiene un conjunto de información privada, o incluso confidencial, que debe permanecer secreta, sino más bien como el derecho a la autodeterminación y autonomía de la capacidad de una persona de hacer elecciones existenciales. Aquí hablamos, de manera más específica, sobre la autodeterminación informativa, es decir, de los derechos de las personas "a saber lo que se sabe sobre ellas", estar informadas de la información almacenada sobre las mismas, controlar cómo es comunicada y prevenir su abuso. Por tanto, la privacidad no se limita a la búsqueda de la confidencialidad; es el control de la persona sobre su imagen en términos de información» (52) . Por su parte, la protección de datos personales «deriva del derecho a la privacidad a través del derecho a la autodeterminación» (53) . Y este último derecho es un derecho humano fundamental y autónomo, lo que se concreta y plasma en el hecho de que la Carta de los Derechos Fundamentales le haya dedicado un artículo específico.

Es necesario, por tanto, atender a las diversas cuestiones que se plantean en relación con el DPD, partiendo de su evolución normativa, para, en particular, considerar el papel que puede tener en el desarrollo de una economía digital robusta y ética así como de una Administración Pública eficiente, lo que va más allá de una función consistente en la supervisión interna del cumplimiento que permita a quien le designa, ya sea responsable o encargado del tratamiento, demostrar este cumplimiento que, a su vez, está vinculado con generar la confianza necesaria.

X. LA NECESIDAD DE UN ESTATUTO JURÍDICO PARA EL DPD

Es así que, en última instancia, se plantea la necesidad de un estatuto jurídico íntegro del DPD, en el que se desarrollen todas las cuestiones que se plantean en relación con esta figura para dar certeza jurídica a todas las partes interesadas y, refuerza a esta figura, evitando una competencia desleal y divergencias en los Estados miembros que impedirían alcanzar el objetivo de garantizar de manera efectiva el derecho fundamental a la protección de datos. En concreto, este estatuto jurídico debería ampliar, sustancialmente, las previsiones del RGPD (LA LEY 6637/2016) dando respuesta a diversas interrogantes que son resultado de previsiones limitadas o de la ausencia de previsiones sobre el DPD, con independencia de cómo sea contratado.

En definitiva, se trata de fomentar la figura del DPD, lo que podría hacerse, en particular, a través de un estatuto jurídico íntegro que incluya también un sello europeo. De esta manera, a través de una aproximación europea y no meramente nacional, se conseguiría un tratamiento adecuado de una figura que es clave en el modelo europeo de protección de datos al que ha dado lugar, en particular, el RGPD (LA LEY 6637/2016).

Para saber más:

El estatuto jurídico del Data Protection Officer, Miguel Recio Gayo, La Ley - Wolters Kluwer, 2019, ISBN: 978-84-9020-598-3.

https://tienda.wolterskluwer.es/p/el-estatuto-juridico-del-data-protection-officer

(1)

Sentencia del Tribunal de Justicia de la Unión Europea de 9 de marzo de 2010, Comisión contra Alemania, asunto C-518/07, apartado 23.

Ver Texto

(2)

Con independencia de cuál sea el género de quien actúe como tal, si bien por motivos prácticos se hará referencia a esta figura como «el DPD».

Ver Texto

(3)

Department of Health, UK Council of Caldicott Guardians, The Caldicott Guardian Manual 2010: http://webarchive.nationalarchives.gov.uk/20121113092627/http://www.connectingforhealth.nhs.uk/systemsandservices/infogov/links/2010cgmanual.pdf/at_download/file (Consultado el 18 de agosto de 2018).

Ver Texto

(4)

Sobre el riesgo que puede implicar el tratamiento de datos personales deben considerarse las guías publicadas al respecto por las diferentes autoridades. A nivel europeo, pueden verse las Directrices del Grupo de Trabajo del Artículo 29 sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (WP 248 rev.01), adoptadas el 4 de abril de 2017 y revisadas por última vez y adoptadas el 4 de octubre de 2017. Y, a nivel nacional, puede verse: AEPD, Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD (LA LEY 6637/2016), 2018.

Ver Texto

(5)

COM(2012) 11 final, Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos (LA LEY 6637/2016)), de 25 de enero de 2012.

Ver Texto

(6)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)) (DOUE L 119, de 4 de mayo de 2016).

Ver Texto

(7)

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DOUE L 281, de 23 de noviembre de 1995).

Ver Texto

(8)

Desde el 24 de mayo de 2018, en virtud del artículo 99 del RGPD (LA LEY 6637/2016).

Ver Texto

(9)

Reglamento (CE) n^o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000 (LA LEY 11164/2000), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DOUE L 8, de 12 de enero de 2001).

Ver Texto

(10)

Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018 (LA LEY 18401/2018), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n^o 45/2001 (LA LEY 11164/2000) y la Decisión n^o 1247/2002/CE (DOUE L 295, de 21 de noviembre de 2018).

Ver Texto

(11)

El título completo de la norma es Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung. La versión de 1977 puede verse, en alemán, en https://www.bfdi.bund.de/bfdi_wiki/index.php/BDSG_1977. Esta Ley fue derogada en 2018, como consecuencia de la adaptación al RGPD (LA LEY 6637/2016).

Ver Texto

(12)

Como explicaba Lucas Murillo de la Cueva, el derecho a la protección de datos «[e]s un derecho nuevo, de los que se dice que integran una de las últimas generaciones de derechos, la tercera o la cuarta, según los autores. Es decir, las formadas por aquellos que responden a los retos y dificultades de la sociedad de nuestros días». Lucas Murillo de la Cueva, P. y Piñar Mañas, J. L., El derecho a la autodeterminación informativa, Fundación Coloquio Jurídico Europeo, Madrid, 2009, pág. 14.

Ver Texto

(13)

Inicialmente, el 23 de septiembre de 1980, se publicó la Recommendation of the Council concerning guidelines governing the protection of privacy and transborder flows of personal data: http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm (Consultado el 18 de agosto de 2018). Posteriormente, estas directrices fueron revisadas, dando lugar en 2013 a una versión actualizada: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf. (Consultado el 18 de agosto de 2018).

Ver Texto

(14)

Publicado en el Boletín Oficial del Estado núm. 274, de 15 de noviembre de 1985. Cabe señalar que este Convenio ha sido actualizado en virtud de la Decisión del Comité de Ministros en su 128ª Sesión del Comité de Ministros, Elsinore, 18 de mayo de 2018: https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1 (Consultado el 18 de agosto de 2018).

Ver Texto

(15)

Recommendation of the Council on Cross-Border Cooperation in the Enforcement of Laws Protecting Privacy (2007) [12 June 2007 - C(2007)67]. Marco de Privacidad de la OCDE, 2013: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf(Consultado el 18 de agosto de 2018).

Ver Texto

(16)

Sobre el concepto de privacidad, Solove, D. J., Understanding Privacy, Harvard University Press, Londres, 2008. Sobre este concepto, Piñar Mañas señala que «es un concepto controvertido, neologismo para unos, barbarismo para otros, al que a veces se da un contenido que puede ser confuso». Piñar Mañas, J. L., ¿Existe la privacidad?, Inauguración Curso Académico 2008-2009, Universidad CEU San Pablo, Madrid, 2008, pág. 5.

Ver Texto

(17)

En concreto, el apartado 3 indica que «it is recognised that other entities, such as criminal law enforcement authorities, privacy officers in public and private organisations and private sector oversight groups, also play an important role in the effective protection of privacy across borders, and appropriate co-operation with these entities is encouraged». Lo que puede traducirse al español como «se reconoce que otras entidades, como las autoridades de cumplimiento en derecho penal, los gerentes de privacidad en organizaciones públicas y privadas y los grupos de supervisión en el sector privado, también desempeñan un papel importante en la protección de la privacidad a nivel transfronterizo, y se recomienda una cooperación adecuada con estas entidades». Esta Recomendación se refiere, de nuevo, a los directivos o gerentes de privacidad en el apartado 22.b).

Ver Texto

(18)

En cuanto a la previsión en la citada Directiva, García Beato ha indicado que «el problema se plantea al tratar de determinar si es necesario que, para que se pueda eximir o simplificar la notificación, se reúnan las dos condiciones previstas o solamente una de ellas. La redacción dada al artículo 18 de la Directiva en la que se utiliza la expresión «y/o» obliga a pensar que es posible que se exijan por el Estado, ateniendo a las circunstancias concretas, una u otra, o las dos. Así lo ha interpretado también el Registrar inglés al realizar los estudios previos sobre la transposición de la Directiva, según consta en el documento «Our Answers» publicado en julio de 1996». García Beato, M. J., Jornadas sobre el Derecho español de la protección de datos personales, Agencia Española de Protección de Datos, Madrid, 28, 29 y 30 de octubre, 1996, pág. 52.

Ver Texto

(19)

Al respecto, Ull Pont ha señalado que el objetivo de la normativa comunitaria es «una eficaz protección y homologación de la misma en todo el territorio comunitario». Ull Pont, E., Derecho Público de la Informática, Protección de datos de carácter personal, UNED Ediciones, Madrid, 2003, pág. 67.

Ver Texto

(20)

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI (LA LEY 19814/2008) del Consejo (DOUE L 119, de 4 de mayo de 2016).

Ver Texto

(21)

Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos de Carácter Personal y de garantía de derechos digitales (BOE núm. 294, de 6 de diciembre de 2018).

Ver Texto

(22)

El Grupo de Trabajo del Artículo 29 fue creado en virtud del artículo 29 de la Directiva 95/46/CE (LA LEY 5793/1995), relativo al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. Se trataba de un grupo de carácter consultivo e independiente, compuesto por representantes de la autoridad o autoridades de control de cada Estado miembro, de las autoridades creadas por las instituciones y organismos comunitarios y por un represente de la Comisión Europea. Sus funciones estaban previstas en los artículos 30 de la Directiva 95/46/CE (LA LEY 5793/1995) y 15 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). En virtud del RGPD (LA LEY 6637/2016), el Grupo de Trabajo del Artículo 29 fue sustituido por el Comité Europeo de Protección de Datos, incorporándose al mismo también el Supervisor Europeo de Protección de Datos. Dicho Comité tiene un protagonismo relevante en la aplicación del Reglamento general de protección de datos (LA LEY 6637/2016) ya que, entre otras funciones, tiene encomendada la formulación de directrices para las autoridades de control relativas a medidas sancionadoras previstas en el artículo 58 y la fijación de multas administrativas de conformidad con el artículo 83.

Ver Texto

(23)

Grupo de Trabajo del Artículo 29, Directrices sobre los delegados de protección de datos (DPD) (WP 243 rev.01), adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.

Ver Texto

(24)

En inglés, European Data Protection Board (EDPB).

Ver Texto

(25)

Ibidem, pág. 13.

Ver Texto

(26)

Ibidem.

Ver Texto

(27)

Así puede leerse en algunas publicaciones en blogs como, por ejemplo, la relativa a The External DPO: Controller or Processor, 10 de abril de 2018: https://www.stibbe.com/en/news/2018/april/the-external-dpo-controller-or-processor (Consultado el 18 de agosto de 2018). En dicha publicación se afirma que «una cuestión que parece haber escapado a la atención de los legisladores, el Grupo de Trabajo, y la mayoría de los comentaristas es esta: ¿qué ocurre con la posición legal del DPD externo cuando recibe datos personales en nombre del responsable o encargado del tratamiento en el desempeño de sus funciones? No hay duda de que el simple hecho de recibir y mantener los datos es un tratamiento a efectos del RGPD (LA LEY 6637/2016) (art. 4.2) y que no hay excepciones o previsiones especiales para la función de DPD. Por tanto, el DPD externo tiene que ser responsable o encargado. ¿Cuál es?». Traducción del original en inglés que dice así: «One question that seems to have evaded the attention of the legislators, the Working Party, and most commentators is this: what happens to the legal position of the external DPO when he receives personal data on behalf of the controller or processor in the performance of his duties? It is clear that the mere act of receiving and holding this data qualifies as processing it for the purposes of the GDPR (LA LEY 6637/2016) (art. 4(2)), and there are no exceptions or special regimes for the DPO role. Thus, the external DPO must be either a controller or processor. Which is it?».

Ver Texto

(28)

Como indicó el Abogado General del Tribunal de Justicia de la Unión Europea, Sr. Niilo Jääskinen, en sus conclusiones en el caso Google Spain y Google y aunque referido a la Directiva 95/46/CE (LA LEY 5793/1995), pero de plena aplicación al RGPD (LA LEY 6637/2016): «En la situación actual, las amplias definiciones de datos personales, tratamiento de datos personales y responsable del tratamiento pueden abarcar una variedad nunca vista de nuevas situaciones fácticas […]. Esta situación obliga al Tribunal de Justicia a aplicar un criterio, en otras palabras, el principio de proporcionalidad, al interpretar el alcance de la Directiva a fin de evitar consecuencias jurídicas poco razonables y excesivas. El Tribunal de Justicia ya aplicó este enfoque moderado en la sentencia Lindqvist». Conclusiones del Abogado General, Jääskinen, N., presentadas el 25 de junio de 2013 en el asunto C-131/12, Google Spain y Google.

Ver Texto

(29)

Ya citada.

Ver Texto

(30)

La referencia en el apartado 4 del artículo 37 del RGPD (LA LEY 6637/2016), cuando indica que «[e]n casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros», en concreto al mencionar a los Estados miembros, debe entenderse como la posibilidad de que estos precisen aún más lo previsto en aquél, de manera que por lo que se refiere al DPD pueden aclarar o precisar su aplicación, por ejemplo, listando otros supuestos en los que sea obligatorio designar a un DPD.

Ver Texto

(31)

Corral Sastre, A., «El régimen sancionador en materia de protección de datos en el Reglamento General de la UE», en Piñar Mañas, J. L. (Director), Reglamento General de Protección de Datos (LA LEY 6637/2016). Hacia un nuevo modelo europeo de privacidad, Reus, Madrid, 2016, pág. 584.

Ver Texto

(32)

Ya que lo mismo ocurre en el caso de la ya mencionada Directiva (UE) 2016/680 (LA LEY 6638/2016) que en su considerando 63 incide sobre que los DPDs «deben estar en condiciones de desempeñar sus deberes y funciones con independencia».

Ver Texto

(33)

Ya que el apartado 1 del artículo 39 del RGPD (LA LEY 6637/2016) indica que «tendrá como mínimo las siguientes funciones».

Ver Texto

(34)

Que indica lo siguiente: «Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento».

Ver Texto

(35)

AEPD, Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos (Esquema de Certificación AEPD-DPD), versión 1.3, 13 de junio de 2018.

Ver Texto

(36)

AEPD, Delegado de protección de datos, 2018.

Ver Texto

(37)

Norma ISO/IEC 17065:2012, Evaluación de la conformidad - Requisitos para organismos que certifican productos, procesos y servicios: https://www.iso.org/obp/ui#iso:std:iso-iec:17065:ed-1:v1:es (Consultado el 5 de agosto de 2018).

Ver Texto

(38)

Asociación Española de Normalización (AENOR), UNE-EN ISO/IEC 17024:2012, Evaluación de la conformidad. Requisitos generales para los organismos que realizan la certificación de personas. (ISO/IEC 17024:2012), 2013 (Consultado el 4 de agosto de 2018, https://www.aenor.com/normas-y-libros/buscador-de-normas/UNE?c=N0050465).

Ver Texto

(39)

Y parece que lo está siendo incluso para otras autoridades alrededor del mundo, como es el caso de la de Corea del Sur, ya que la AEPD mantuvo una reunión con la «Korea Internet & Security Agency (KISA, por sus siglas en inglés) con el fin de valorar el Esquema de Certificación para Delegados de Protección de Datos como marco de referencia para el desarrollo de su propio sistema de certificación para la figura del CPO (Chief Privacy Officer) requerida por la normativa coreana de protección de datos», AEPD, Reunión de trabajo con representantes de la KISA, 9 de agosto de 2018.

Ver Texto

(40)

Al respecto, la OCDE ha indicado que «In some cases there is a statutory basis to support or encourage the role of the privacy professional. For example, Germany’s Bundesdatenschutzgesetz (Federal Data Protection Act) sets out specific requirements concerning the data protection officials in organisations. Canada’s federal private sector legislation, PIPEDA, requires an organisation to designate an individual(s) to be responsible for its personal data handling activities, and the EU Directive also contains a reference to a personal data protection official. New Zealand’s Privacy Act requires every agency in both the public and private sectors to appoint a privacy officer. Various pieces of US legislation require federal agencies to have Chief Privacy Officers or Senior Agency Officials for Privacy». Lo que puede ser traducido al español como «[e]n algunos casos hay una base normativa para apoyar o fomentar el papel del profesional de la privacidad. Por ejemplo, la Ley Federal Alemanda de Protección de Datos (Bundesdatenschutzgesetz) prevé requisitos específicos en relación a los delegados de protección de datos en las organizaciones. La legislación federal Canadiense para el sector privado, PIPEDA, requiere que una organización designe a una o varias personas responsables de las acciones de gestión de los datos personales, y la Directiva europea también incluya una referencia al delegado de protección de datos personales. La Ley de Privacidad de Nueva Zelanda requiere que toda organización, tanto en los sectores público como privado, designen un oficial de privacidad. Varias partes de la legislación estadounidense requiere que las agencias federales tengan un Oficial de Privacidad (Chief Privacy Officer) u Oficiales Senior de Privacidad en las Agencias (Senior Agency Officials for Privacy)» Marco de Privacidad de la OCDE …, op. cit., pág. 108.

Ver Texto

(41)

La referencia al EEE debe entenderse hecha a los países a Islandia, Liechtenstein y Noruega, que se suman a los Estados miembros de la Unión Europea. Por lo que se refiere al RGPD (LA LEY 6637/2016), su entrada en vigor para los tres países citados se produjo el 20 de julio de 2018 en virtud de la Decisión del Comité Mixto del EEE n.^o 154/2018, de 6 de julio de 2018, por la que se modifica el anexo XI (Comunicación electrónica, servicios audiovisuales y sociedad de la información) y el Protocolo 37 (que contiene la lista prevista en el artículo 101) del Acuerdo EEE [2018/1022], publicada en el DOUE L 183, de 19 de julio de 2018.

Ver Texto

(42)

Traducción al español del original en inglés que indica: «Privacy officers may play an important role in designing and implementing a privacy management programme». OCDE, The evolving privacy landscape: 30 years after the OECD privacy guidelines, en Marco de Privacidad de la OCDE, …, op. cit., pág. 108.

Ver Texto

(43)

COM(2018) 43 final, de 24 de enero de 2018, Mayor protección, nuevas oportunidades: Orientaciones de la Comisión sobre la aplicación directa del Reglamento general de protección de datos (LA LEY 6637/2016) a partir del 25 de mayo de 2018, pág. 4.

Ver Texto

(44)

En el ámbito de la Unión Europea la transformación digital es una prioridad ya que es «clave para materializar el crecimiento futuro en Europa» y ha dado lugar a que la Comisión Europea propusiera un programa Europea Digital para «configurar y apoyar la transformación digital de la sociedad y la economía europeas», COM(2018) 321 final, de 2 de mayo de 2018, Un presupuesto moderno para una Unión que proteja, empodere y vele por la seguridad. El marco financiero plurianual para el período 2021-2027, pág. 9.

Ver Texto

(45)

A modo de ejemplo, sobre la base de algunas investigaciones recientes, la Comisión Europea ha indicado que incluso un uso limitado de soluciones analíticas de big data por los 100 fabricantes principales de la Unión Europea podría impulsar el crecimiento económico en esta un 1.9% adicional en 2020. Comisión Europea, Enter the Data Economy, EU Policies for a Thriving Data Ecosystem, EPSC Strategic Notes, Issue 21, 11 de enero de 2017, pág. 1.

Ver Texto

(46)

Por lo que se refiere a la transformación digital en este ámbito, la Comisión Europea ha indicado que «[l]a digitalización acelerada de los servicios públicos, impulsada por la necesidad de modernizar, reducir costes y ofrecer servicios innovadores, abre nuevas oportunidades para optimizar el almacenamiento, la transferencia, el procesamiento y el análisis de datos», COM(2014) 442 final, de 27 de julio de 2014, Hacia una economía de los datos próspera, pág. 3.

Ver Texto

(47)

Al respecto, la Comisión Europea anunció en abril de 2018 que «presentará unas directrices éticas sobre el desarrollo de la IA para finales de 2018, sobre la base de la Carta de los Derechos Fundamentales de la UE (LA LEY 12415/2007), teniendo en cuenta principios tales como la protección de datos y la transparencia, y apoyándose en los trabajos del Grupo Europeo de Ética de la Ciencia y de las Nuevas Tecnologías». Comunicado de prensa de la Comisión Europea, Inteligencia artificial: La Comisión presenta un enfoque europeo para impulsar la inversión y establecer directrices éticas, de 25 de abril de 2018. En concreto, el borrador de directrices fue presentado el 18 de diciembre de 2018.

Ver Texto

(48)

Con carácter general, la Comisión Europea ha indicado que «[e]l valor real de la economía de los datos solo se podrá aprovechar si la inteligencia artificial es ampliamente adoptada por los sectores público y privado». Comisión Europea, Presupuesto de la UE para el futuro. Transformación digital, de 2 de mayo de 2018: https://ec.europa.eu/commission/sites/beta-political/files/budget-proposals-digital-transformation-may2018_es.pdf., pág. 2 (Consultado el 20 de agosto de 2018).

Ver Texto

(49)

En este sentido, la propuesta de la Comisión Europea para aumentar la disponibilidad de los datos en la Unión tiene en consideración, como punto de partida, el RGPD (LA LEY 6637/2016). COM(2018) 232, de 25 de abril de 2018, Hacia un espacio común europeo de datos.

Ver Texto

(50)

Parlamento Europeo, Data flows - Future scenarios, Directorate General for Internal Policies, Policy Department A: Economic and Scientific Policy, noviembre de 2017.

Ver Texto

(51)

Al respecto pueden verse las referencias tanto al DPO como al CPO como parte de los elementos comunes requeridos para la correspondiente aprobación de las BCRs y certificación de las CBPRs. Asia-Pacific Economic Forum, «APEC/EU Referential for the Structure of the EU Binding Corporate Rules and APEC Cross Border Privacy Rules System - Draft Endorsement Request», 29th Electronic Commerce Steering Group Meeting», Ningbo, China, de 20 de febrero de 2014.

Ver Texto

(52)

El original, en inglés, dice así: «Privacy, in this context, should be understood not in the traditional sense of a private sphere to be protected and containing a set of private, or even confidential, information to be kept secret, but rather as the right to self-determination and autonomy and an individual’s capacity to make existential choices. Here we are talking, more specifically, about informational self-determination, that is, individuals» rights to «know what is known about them», be aware of information stored about them, control how it is communicated and prevent its abuse. Privacy is thus not confined to a pursuit of confidentiality; it is an individual’s control over his or her image in terms of information». Consejo de Europa, Protection of privacy and personal data protection on the Internet and online media, Report, Committee on Culture, Science and Education, Rapporteur: Mrs Andreja RIHTER, Slovenia, Socialist Group, Parliamentary Assembly, mayo de 2011.

Ver Texto

(53)

Traducción al español del original en inglés que dice así: «Data protection derives from the right to privacy via the associated right to self-determination», ibidem, pág. 8.

Ver Texto