Carlos B Fernández. El Delegado de protección de datos ha sido una de las innovaciones más relevantes introducidas en nuestro ordenamiento con motivo de la entrada en vigor del Reglamento general de protección de datos (LA LEY 6637/2016) (RGPD), pues si bien se trata de una figura ya conocida en otros países europeos, su presencia en el nuestro era prácticamente inexistente.
Pese a que carece de una definición legal concreta, el RGPD le ha dotado de una importancia especial para asegurar el correcto cumplimiento de la normativa por empresas y organizaciones, y la Ley Orgánica 3/2018 ha completado esa regulación, precisando una serie de sectores en los que su presencia es obligatoria y reforzando su independencia y su carácter de interlocutor frente a la autoridad de control.
En particular se trata de una figura clave para asegurar el cumplimiento de la obligación de las empresas y organizaciones de sujetarse al principio de responsabilidad proactiva que establece el art. 24 del RGPD (LA LEY 6637/2016). Y dado que esa responsabilidad depende, como indica el mismo artículo, de “la naturaleza, el ámbito, el contexto y los fines del tratamiento”, y de los riesgos que deriven del mismo (en función de todos los cuales habrá que aplicar las “medidas técnicas y organizativas adecuadas”), la actuación del DPO deberá adecuarse a las condiciones concretas de cada ámbito en que se desarrolle.
Por ello resulta especialmente interesante la obra “Las funciones del delegado de protección de datos en los distintos sectores de actividad”, que, coordinada por Pere Simón Castellano y Jordi Bacaria Martrus, acaba de publicar editorial Bosch, de Wolters Kluwer.
En ella, un buen número de especialistas con experiencia de DPO abordan las diferentes exigencias que su actividad plantea tanto en el sector público como en el privado. En el primero, tanto en la administración general e institucional como en la local, y entre el segundo, en ámbitos tan diferentes como el del juego, las federaciones deportivas, los centros públicos de educación superior, salud, farmacia, banca, márketing y notariado.
Como destaca en el prólogo de la obra el profesor Artemi Rallo Lombarte, ex director de la AEPD y ponente de la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LA LEY 19303/2018), “el derecho mejor garantizado es aquel sobre el que se evitan sus vulneraciones”. Por ello, “tanto el legislador europeo como el legislador español han diseñado una potente estrategia preventiva que materializa las exigencias básicas de la accountability”, en la que la generalización de la figura del delegado de protección de datos, provista de “un estatuto de singular independencia profesional”, que le permite relacionarse directamente con la autoridad de control, el público y los particulares y ejercer sus funciones con independencia y sin recibir instrucciones, aparece “centrada en informar y asesorar a la entidad de sus obligaciones y en supervisar las políticas internas de privacidad de forma especial respecto de la garantía de la protección de datos desde el diseño, por defecto, en la seguridad de los datos, la información, la notificación de violaciones de datos, evaluación de impacto y cooperar con la autoridad de control”.
La obra se estructura en dos partes, la primera de las cuales está dedicada a “Las funciones del delegado de protección de datos” y se abre con un análisis de Pere Simón sobre “El ejercicio de las funciones del delegado de protección de datos en la supervisión y gestión de procesos críticos”. En él Simón destaca que “la responsabilidad proactiva implica entrar dentro del círculo virtuoso de planificar, hacer, verificar y actuar —ciclo PDCA—, entre muchas otras metodologías, que garantizan la mejora continua”, por ello, “es evidente la conexión del PD con el principio de responsabilidad proactiva, porque probablemente no hay mejor forma de ser transparente en relación con las obligaciones y el cumplimiento de la normativa sobre protección de datos que estableciendo un canal claro, un interlocutor «independiente» o autónomo, capaz de informar y asesorar sobre cómo gestionar el riesgo de manera proactiva; capaz de supervisar el cumplimiento de las obligaciones y mediar en caso de conflicto”. Pero teniendo en cuenta que las tres funciones claramente diferenciadas que desempeña esta figura “encuentran matices y peculiaridades propias de cada sector en el que el DPD ejerce sus funciones”.
En este capítulo Simón dedica especial atención a dos temas poco estudiados por la doctrina, como son el registro de actividades de tratamiento y las metodologías de análisis y gestión de riesgos.
A continuación, Jordi Bacaria aborda el papel de “El DPD en el ejercicio de las funciones de información y medición”, donde destaca que, teniendo en cuenta ese modelo de cumplimiento del RGPD, basado en la responsabilidad proactiva y en la rendición de cuentas “será necesario documentar los procesos y las decisiones adoptadas para dar cumplimiento a las obligaciones y principios previstos por la normativa”. En este marco el Delegado de Protección de Datos ”intervendrá también en el proceso de documentación de forma directa, elaborando informes, actas y recomendaciones del seguimiento del cumplimiento de la normativa por parte del responsable, así como asesorando en la elaboración de documentos como el Registro de Actividades de Tratamiento, procesos de identificación, tratamiento y evolución del riesgo, políticas de protección de datos, etc.”
Se cierra esta primera parte de la obra con la relevante aportación de Pedro Colmenares Soto, hasta fechas muy recientes Subdirector General de la Inspección de Datos en la AEPD, quien en su capítulo “La participación del DPD en el procedimiento sancionador”, profundiza, con un enfoque señaladamente práctico, en el importante papel que el DPD juega en el procedimiento sancionador en materia de protección de datos. Un papel que la AEPD no ha cesado de destacar en todas sus referencias al tema.
En la segunda parte, los autores abordan el estudio de las funciones del DPD por sectores de actividad. Para ello, destacan los coordinadores “Se han seleccionado cuidadosamente aquellos sectores en los que la presencia o designación del DPD o bien es preceptiva, o bien deviene necesaria por razones prácticas, al entrañar las actividades de tratamiento propias del sector un riesgo inherente elevado para los derechos y libertades de los interesados”.
Así, en primer lugar, se estudia el impacto de esta figura en el sector público. Un ámbito al que, si bien el legislador excluyó de sufrir sanciones económicas, está obligado a contar con un DPD, “cuando no con un equipo” específico, subrayan los coordinadores, para garantizar y liderar el cumplimiento normativo en protección de datos.
A estos efectos, Júlia Bacaria Gea, analiza las peculiaridades del DPD en la Administración Local (una tarea particularmente exigente, no solo porque la aplicación de la normativa de protección de datos en el sector de la administración pública en general y la Administración Local en particular, sea notablemente distinta a la del sector privado”, sino por cuanto, al conocimiento de “las casuísticas propias del sector” deberá unir “conocimientos transversales sobre la aplicación de otras legislaciones importantes en el ámbito de la administración pública, no sólo de su funcionamiento, organización y competencias, sino también de normativas estrechamente ligadas a la protección de datos como la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LA LEY 19656/2013) o el Real Decreto 951/2015, de 23 de octubre (LA LEY 16680/2015), de modificación del RD 3/2010, de 8 de enero (LA LEY 630/2010), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica”).
Por su parte, Eduard Chaveli Donet y Patricio Monreal Vilanova, estudian las transformaciones e implicaciones de la figura del DPD en el sector de la administración institucional-corporativa, con especial referencia a los colegios profesionales y sus correspondientes consejos. Un sector particularmente complejo, como destacan estos autores, dadas la naturaleza privada y también pública de los tratamientos que realizan, su sometimiento a la normativa sobre transparencia en sus actividades sometidas al Derecho administrativo, la aplicación de este Derecho a la contratación de proveedores, las medidas de seguridad a que vienen obligados por el Esquema Nacional de Seguridad, su particular régimen sancionador y la autoridad de control a la que están sometidos.
Entrando en el ámbito empresarial, Patricia Casado González, realiza un detallado estudio general sobre el papel del DPD en el ámbito empresarial. Un ámbito en el que, como señala esta autora, si bien el RGPD se erige como la norma de referencia, el DPD deberá además asesorar a la empresa en lo referente, entre otros, “a la LOPDGGD, la LSSICE (LA LEY 1100/2002), así como dependiendo del sector de actividad de la empresa, la Ley General de Telecomunicaciones, las normativas sectoriales aprobadas, y en todo caso las resoluciones y Guías dictadas por la AEPD y, en su caso, las de las propias autoridades autonómicas”. Sin olvidar ni la relevante importancia de la gestión de los principios de la protección de datos, las obligaciones relacionadas con las transferencias internacionales de datos, su papel como mediador en la solución de controversias con los titulares de los datos, ni que “asimismo, el DPD deberá conocer de forma suficientemente amplia normativa relativa a ciberseguridad, para asesorar convenientemente al CISO de la compañía y coordinar de forma conjunta cuestiones trasversales sobre seguridad y privacidad de la información”.
De las particularidades del trabajo del DPD en el sector del juego se ocupa Efrén Santos Pascual, destacando que este es un ámbito, de por sí, complejo a la hora de ser regulado, “no sólo en materia de privacidad sino por la idiosincrasia de las distintas tipologías existentes (reguladas, exentas o especiales), así como por la incentivación directa o indirecta de dicha actividad”. A ello se suma que si bien, únicamente, la LOPDGDD (LA LEY 19303/2018) hace mención expresa a las entidades que ostenten la condición de operador (es decir, hayan obtenido la autorización administrativa asociada a la tipología de juego que pretenden desarrollar), Igualmente, “pudieren verse afectos, no sólo por el tipo de actividad que desarrollan sino por actividades directas o indirectas, tales como publicidad y elaboración de perfiles” o, más recientemente, los videojuegos. Todo ello, aparejado con prohibiciones o exigencias legales afecta a menores y prevención de adicciones como, por ejemplo, la ludopatía, e incluso la propia autoexclusión del juego (RIAJ). Por ello, en este ámbito, aspectos como la definición de las bases de legitimación, cobran una particular importancia para el trabajo del DPD.
Víctor Cazurro Barahona hace lo propio en relación con las federaciones deportivas, ámbito en el que la LOPDGDD (LA LEY 19303/2018) obliga a designar DPD cuando “traten datos de menores de edad”, circunstancia que, advierte, “afecta al noventa y nueve por ciento de las federaciones deportivas, si no a todas”. Pero además, aunque la ley no obligue a ello, este autor aconseja esta designación también a clubes y demás entidades deportivas, máxime si tratan datos de menores de edad, para asegurar el cumplimiento del principio de responsabilidad proactiva.
El ámbito educativo cuenta con dos análisis pormenorizados. Juan Francisco Rodríguez Ayuso se ocupa de las funciones del DPD en los centros públicos de educación superior y Víctor Roselló Mallol en el sector educativo, un sector especialmente sensible en materia de protección de datos, pues comprende el tratamiento de datos de menores de edad, los riesgos asociados a una franja de edad con uso masivo de Internet y las redes sociales, el tratamiento de categorías especiales de datos, como datos de salud de los alumnos o los derivados de pruebas e informes psicopedagógicos y la multitud de plataformas para el tratamiento de datos personales. Por ello, en el mismo cobran singular importancia elementos como las bases legitimadoras del tratamiento de datos y la evaluación de riesgos.
A continuación, Elena Davara Fernández de Marcos aborda el muy relevante papel del DPD en el sector de la salud, caracterizado por el hecho de que si bien este sector es uno de los pilares fundamentales de la convivencia, también es cierto que los datos personales son uno de sus principales activos, por lo que su tratamiento se ha de hacer con todas las garantías, pues el legislador ha puesto especial énfasis en la protección de los datos de salud, al inferir en la esfera más íntima de la persona. Por ello, destaca, en este sector “el DPD ha de establecer mecanismos que le permitan llevar el control del tratamiento de los datos de manera ágil y práctica”, pues sus obligaciones “no se limitan a controlar la aplicación de los principios de privacidad por defecto y desde el diseño, sino que están compuestas por un amplio abanico que, además, debe contar con el respaldo documental y con el apoyo y asesoramiento del DPD en todo el proceso”.
Y, sin alejarnos de este sector, Eduard Blasi Casagran analiza las características del papel del DPD en el sector de la farmacia. Un ámbito en el que “se tratan datos de distinta tipología, que en algunos casos pueden presentar sensibilidad importante, ya sea por la categoría que ocupan o por el tratamiento a gran escala de alguno de estos grupos de datos”, como los tratamientos relativos a ensayos clínicos, o a aquéllos derivados de las funciones de farmacovigilancia, que son de los más sensibles del sector. Por ello, destaca este autor, “las labores de supervisión del DPD son cruciales para fortalecer el control y la disposición de los mismos, y así garantizar el correcto tratamiento, en todas las fases del ciclo de vida del dato personal en la empresa”.
Javier Puyol Montero y Carlos Franco Blanco se ocupan, por su parte, del ejercicio de las funciones del Delegado en el sector financiero, con especial atención a las peculiaridades del ámbito bancario y del sector actuarial o asegurador. Se trata de unos ámbitos en los que más datos de carácter personal se han utilizado, “como consecuencia de la exigencias derivadas de las transacciones comerciales propias de su negocio, el cual no sólo abarca de manera estricta la realización de apuntes de naturaleza contable, sino que en la actualidad va mucho más allá en la necesidad de llevar a cabo importantes campañas de marketing, de segmentación de scoring, que permita conocer mejor a sus clientes, y su capacidad financiera, el impacto de sus productos en los mismos, y la reputación de marca que se deriva de toda dicha actividad”. Por ello, “la gestión de estos volúmenes de información sensible, tanto financiera como personal, requiere de procedimientos claros y precisos en la organización para cumplir con las políticas de las compañías, alineadas con las normas del mercado y sus estándares de calidad”. En este sector, añaden estos autores, aspectos como las páginas webs de las empresas, sus políticas de privacidad, el deber de información y la portabilidad de los datos, cobran particular importancia.
Laura Davara Fernández de Marcos aborda el rol del DPD en las empresas del sector del marketing digital. Un ámbito en el que los datos personales y, en especial el tratamiento que se pueda hacer de los mismos “cobran una importancia suprema”, dada su habitual realización “con fines de personalización, análisis de perfiles y, a fin de cuentas, venta de todo tipo de bienes y servicios por parte de todas las entidades que invierten enormes cantidades de dinero en el uso de plataformas, programas, aplicaciones y demás herramientas que permitan obtener una información de mayor «calidad» de los datos personales que tanto los clientes como los potenciales clientes y los no clientes —por ser clientes de nuestra competencia— proporcionan, principal pero no exclusivamente, en Internet”.
Finalmente, el análisis de las particularidades del papel del DPD en el sector notarial, corren a cargo de David Gracia García, DPD de la Agencia Notarial de Certificación, quien recuerda que “el colectivo notarial en España tiene arraigada una cultura de protección de datos personales y de respeto al derecho fundamental a la protección y privacidad de los datos personales, derivada, por un lado, de su experiencia acumulada en la aplicación efectiva de la normativa de protección de datos aprobada hasta la fecha en España (tanto general como sectorial) y por otro, de la influencia de la actividad misma de la fe pública notarial en el colectivo de notarios, basada en el secreto del protocolo que obliga a los notarios a custodiarlo e impedir que nadie tenga acceso indebido a su contenido, es decir, el deber de guarda y custodia del mismo”.
En definitiva un relevante estudio teórico-práctico que explora cómo los expertos DPD de organizaciones, empresas y organismos públicos están gestionando a día de hoy las obligaciones que incorporan tanto el RGPD como la LOPDGDD (LA LEY 19303/2018) en los principales sectores de la actividad económica, empresarial y administrativa, de obligada lectura para los profesionales que se dedican a esta materia.