Entradas

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Factores que contribuyen a la llegada a buen puerto de la función del Delegado de Protección de Datos

El Delegado de Protección de Datos (DPD), centrándome exclusivamente en el sector privado, se erige en la figura clave para impulsar el cumplimiento de la normativa de protección de datos, tanto en aquellos supuestos de nombramiento obligatorio como voluntario.

Como todo “oficio” de nuevo cuño, el éxito de la implantación de la figura del DPD pivota en factores de diversa índole, todos ellos necesarios, que dependen unas veces del responsable del tratamiento y, otras veces, de las cualidades y aptitudes del propio DPD. Veamos:

Factores que dependen del responsable del tratamiento

Resulta imprescindible que el DPD esté investido de “autoridad jerárquica” y a ello contribuye:

  • Compromiso firme de cumplimiento por la alta dirección, garantía de autonomía e independencia en el desarrollo de sus funciones, reporte directo a la alta dirección, dotación de recursos y medios suficientes.
  • Aprobación y difusión de un estatuto con la descripción de las funciones que corresponden al DPD, estableciendo de manera expresa la obligación de consultar y, correlativamente, la disponibilidad y accesibilidad que se espera del DPD, aclarando que la responsabilidad ante posibles sanciones no es atribuible al DPD sino que lo es, únicamente, al responsable del tratamiento.
  • Gobernanza de los datos: Aprobación y difusión de políticas, protocolos y procedimientos para garantizar la gestión proactiva, adaptados a la realidad organizativa y a los tratamientos realizados por el responsable; publicitar interna y externamente el canal del DPD; creación de un grupo multidisciplinar con los departamentos que habitualmente tratan datos personales en el desarrollo de sus funciones.
Factores que dependen del DPD

Para no ser percibido únicamente como una figura de control (que lo es) pero ajena al día a día o, lo que es peor, como una suerte de “paralizador sistemático de proyectos”, resulta imprescindible que el DPD esté investido de “autoridad moral” y a ello contribuye:

  • Conocimiento profundo de la organización y de la realidad de la actividad desarrollada por el responsable del tratamiento, contribuyendo a “aterrizar” la normativa: La revisión ordinaria o extraordinaria del registro de actividades de tratamiento, de los planes de acción derivados del análisis de riesgos o de las evaluaciones de impacto de privacidad son momentos óptimos para conectar y detectar aspectos de mejora, cambios relevantes o inquietudes planteadas por los profesionales que tratan datos personales.
  • Impulsar una cultura de cumplimento de la normativa de protección de datos: Adaptar la formación a la realidad de cada profesional con conceptos claros, precisos y ejemplos prácticos; difusión personalizada mediante el envío de píldoras informativas, recopilatorio semanal de noticias destacadas y su relación con aspectos del día a día o, resumen de resoluciones e informes relevantes por ámbitos de actividad de tratamiento, concretando propuestas de mejora.
  • Empatizar, mostrarse accesible y generar confianza: Evitar discursos del tipo “las sanciones pueden ascender a 20 millones de € o al 4% de la facturación”, lo sabemos y tiene un cierto efecto paralizante. El discurso debe focalizarse en lo que puede (y debe) hacerse, conceptos como la prevención, la detección y mitigación del riesgo, el hecho que siempre es mejor consultar a tiempo que generar un problema y, en resumen, que debe contarse con el DPD desde la fase de diseño, por cuanto “el RGPD no prohíbe, indica el camino” y la función del DPD es ayudar a descubrir y concretar ese camino.

La suma de los anteriores factores contribuye, sin duda, a lograr que la protección de datos no sea percibida como “cosa” del DPD, sino que sea asumida como un compromiso por parte de todos y cada uno de los profesionales que integran la estructura del responsable del tratamiento y, de esa manera, llegar a buen puerto.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Reflexiones sobre el delegado de protección de datos en el sector público

La posible afectación de los derechos y libertades de las personas en relación a los datos de carácter personal debe ser objeto de atención para todo jurista y profesional especializado en este sector pero, sí además se está prestando un servicio en la Administración, como empleado público (funcionario o laboral), debemos ir un paso más allá y orientar nuestros esfuerzos al incremento de la calidad de vida de la ciudadanía.

En general, es necesaria una mayor concienciación en materia de privacidad y disminuir el desequilibrio de control entre los titulares y los poseedores de los datos personales.

El sector público no es ajeno a estos ni a otros problemas, presentando además ciertas características que lo hacen objeto de especial atención:

  • Maneja grandes cantidades de datos.
  • Existe cierta relajación de las personas administradas porque confían en la Administración y, al tiempo, ésta corre el peligro de relajarse al no estar expresamente sancionada su falta de acción.
  • La obligatoriedad normativa de la existencia del DPD en la Administración es un claro indicio de la importancia de garantizar ciertos derechos.

La aplicación de la normativa presenta dificultades de carácter práctico, como por ejemplo la falta de disposición en algunas entidades públicas de personas suficientemente cualificadas para ejercer las funciones de DPD por lo que su designación y comunicación a las autoridades de protección de datos puede constituir un formalismo vacío de contenido.

A continuación analizamos algunas obligaciones y aspectos del responsable y del encargado del tratamiento que aparecen recogidas tanto en el Reglamento General de Protección de Datos (RGPD) como en el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). Deben ser objeto de desarrollo para que se puedan materializar de forma práctica en el sector público:

1. Obligación de garantizar la participación del DPD en las cuestiones relativas a la protección de datos personales

Según el artículo 38.1 RGPD el responsable y el encargado del tratamiento deben asegurar dicha participación, de forma adecuada y en tiempo oportuno. Sin embargo, en determinadas entidades públicas (especialmente las de menor tamaño organizativo) se pueden plantear incógnitas al respecto: ¿Qué cargo o persona concreta de la entidad pública es la encargada de involucrar a este profesional? ¿Cómo lo hará? ¿Cómo establecerá el equilibrio entre su acceso a la información y la confidencialidad o el deber de secreto?

Deberá determinarse la persona o cargo de referencia que velará por “involucrar” de forma efectiva al DPD en la organización. Puede ser útil establecer un procedimiento o protocolo mediante el cual se especifique la forma adecuada de conseguir dicho objetivo, por ejemplo estableciendo los parámetros que permitan asegurar un grado mínimo de participación. Estos procedimientos deberían ser homogéneos para todas las administraciones y atender, además, al desarrollo consensuado de la expresión: “en tiempo oportuno” huyendo de cualquier actuación improvisada o tardía.

Una forma de involucrar al DPD es mediante su participación en reuniones con los cuadros directivos de forma regular. Para ello sería conveniente establecer cronogramas y protocolos sobre el adecuado funcionamiento de dichas reuniones, dejando constancia fehaciente de los acuerdos adoptados en actas. Todo ello para asegurar que, cualquier decisión con implicación en la protección de datos llegará, con toda seguridad, al DPD. Los procedimientos normalizados de trabajo pueden contemplar la prevención de muchos problemas y la forma de resolverlos, como, por ejemplo, el método para consultar con prontitud al DPD ante la existencia de un incidente grave.

El Grupo del Artículo 29 (GT 29) establece que el DPD debe ser tomado en consideración y añade la obligación de argumentar y documentar las razones de no seguir su consejo. Ese especial compromiso es más sólido si se prevén documentalmente estas situaciones y se recoge la forma de proceder en cada supuesto mediante instrucciones o directrices concretas, cómo la determinación de los casos en que debe ser consultado.

La participación está relacionada con la transversalidad y la cooperación y coordinación interdepartamental dentro de la entidad pública. El DPD debe formar parte de los grupos de trabajo que están relacionados con el tratamiento de datos y todas estas relaciones deberían estar previstas y reguladas.

2. Obligación de respaldar al DPD en el ejercicio de sus funciones

De acuerdo con lo preceptuado en el artículo 38.2 RGPDUE, el responsable y el encargado ofrecerán respaldo al DPD. Esto se materializa facilitando:

  • Acceso a los datos y a las operaciones de tratamiento. (Artículo 36.3 Proyecto LOPD).
  • Los recursos necesarios para desempeñar sus funciones.
  • El mantenimiento de sus conocimientos especializados (formación).

Todo ello requiere que, de forma previa, se conciencie y se instruya al empleado público de forma que sea conocedor de estas necesidades para no obstaculizar su puesta en práctica en cada entidad. Pero, además, debería precisarse el alcance real de todos y cada uno de estos aspectos. Al igual que ocurre con otros conceptos jurídicos indeterminados (como “a gran escala”) existe poca claridad y definición que puede ralentizar el ejercicio de las funciones del DPD.

Por eso ofrece mayores garantías la existencia de directrices claras o instrucciones que delimiten con toda la exactitud posible la forma de acceso, los recursos que se consideran mínimamente necesarios y los programas y horas mínimas destinadas a la actualización de conocimientos, así como la organización interna para hacer posible dicha formación.

3. Independencia o autonomía del DPD

Una de las características más importantes de la posición del DPD es su autonomía e independencia (Artículo 38.3 RGPDUE), definida en tres aspectos:

  • El responsable y el encargado deben garantizar que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones.
  • No puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • El DPD rendirá cuentas al más alto nivel jerárquico del responsable o encargado.

La última redacción del Proyecto LOPD ha añadido una frase al anterior artículo 36.2 sobre la Posición del DPD: “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Las garantías para asegurar la autonomía del DPD deberían ser concretadas, especialmente en el caso de aquellas personas que desempeñan estas funciones con carácter interno en la entidad pública y, en particular, si compagina la función de DPD con el desarrollo de otras tareas en la entidad.

Cuanto más definidas estén las actividades y más experiencia y conocimientos posean los responsables de cada departamento o área de DPDs, más fácil será lograr una autonomía real.

Respecto a la rendición de cuentas, el DPD reporta su actividad a los más altos responsables de la organización y estos deberían adoptar las medidas adecuadas para cumplir sus indicaciones. Solo así se hace real su actividad de supervisión. Sin embargo esta tarea puede verse obstaculizada por determinados intereses y prioridades de carácter político que hace necesaria la previsión de consecuencias y resolución de este tipo de incidencias mediante procedimientos preestablecidos.

El artículo 36.2 del Proyecto LOPD específica que el DPD sólo podrá ser removido o sancionado si incurre en dolo o negligencia grave en su ejercicio. En el caso de las entidades públicas podemos plantearnos la duda de quién debe instruir estos procedimientos disciplinarios para asegurar una total neutralidad. La determinación del propio concepto “grave” también puede generar incógnitas.

Otro aspecto a estudiar relacionado con la necesidad de autonomía es la posibilidad de ejercer las funciones de DPD por parte de personas en régimen de interinidad.

La consecución de la independencia real puede que sea una de las preocupaciones prioritarias de los profesionales de la protección de datos.

En el caso del DPD interno a tiempo parcial deben establecerse salvaguardas específicas de detección y de adopción de soluciones alternativas si surgen conflictos de intereses. Como en los casos anteriores, la previsión normativa y organizativa resulta imprescindible en el sector público.

4. Otros aspectos sobre la figura del DPD en el sector público

La Agencia Española de Protección de Datos (AEPD) ha considerado necesario establecer un sistema de certificación de profesionales de protección de datos que permite evaluar a los candidatos. Sobre los requisitos de formación del DPD en el sector público, la provisionalidad en la designación de la acreditación de las entidades certificadoras no ayuda. A fecha de hoy sólo dos han conseguido la designación definitiva. A pesar de ser un punto de referencia para acreditar la capacidad y la formación profesional adecuada, el DPD público requiere otros conocimientos relacionados con la legislación y los procedimientos administrativos.

5. Externalización e Internalización

La decisión de externalizar o internalizar el DPD del sector público presenta argumentos a favor y en contra. De un lado la externalización puede generar una disminución en el control. De otro, parece que resulta más fácil asegurar la independencia o autonomía del/de la profesional.

Pero si consideramos que la prestación de servicios relacionados con la protección de datos implica cierto ejercicio de autoridad, la opción de desempeñar el cargo un/a funcionario/a gana terreno. Si optamos por esta solución habrá que consensuar su posición orgánica concreta en la estructura de puestos de trabajo definiendo su estatuto.

Después de escuchar las opiniones de varios profesionales que ejercen las funciones de DPD en el sector público, podríamos priorizar en orden de relevancia los aspectos prácticos más preocupantes a fecha de hoy:

  • Hacer efectiva la ejecución real del despliegue orgánico que comporta la nueva figura del DPD en el sector público tal y como prevé la normativa. (Y controlar dicho despliegue).
  • Ofrecer la formación necesaria al personal de todas las administraciones públicas. (En especial a las personas de referencia de cada departamento o área).
  • Toma de contacto real e inicio de las actividades de cada DPD.
  • Establecer los criterios básicos mínimos aplicables a todas las administraciones públicas para que la supervisión de la actividad en cada organización sea homogénea.

Las reflexiones sobre todos estos aspectos pueden ayudar a generar debate y ser autoconscientes del punto real de partida en el cual nos hallamos. El análisis de estas situaciones debe servir para prever los problemas y para sugerir soluciones efectivas.

Para ello se va a requerir un esfuerzo considerable de creación de protocolos, procedimientos normalizados de trabajo, instrucciones, circulares y otras normas cuyo objetivo debe ser la homogeneidad en el sector público reduciendo al mínimo la interpretabilidad estableciendo, entre otros aspectos:

  • La forma de determinación de las personas responsables de los tratamientos.
  • El modo de ser consultado el DPD ante determinadas incidencias y las consecuencias de no seguir sus consejos.
  • La manera de hacer del DPD un interlocutor real en la Administración.
  • Planes y proyectos de organización que aseguren el compromiso de asignación de los recursos y las alternativas en caso de incumplimiento.
  • Convenios de colaboración transversal entre departamentos definiendo totalmente las responsabilidades y las tareas.
  • Planes de formación para los profesionales y para el empleado público.

Nos hallamos ante un gran reto, por otro lado apasionante, cuya implicación y responsabilidad de resolución corresponde, además del legislador y las autoridades a todas aquellas personas profesionales del sector de la protección de datos.

Sergio Duarte

¿Deben nuestros clientes designar a un Delegado de Protección de Datos?

Con la entrada en vigor del nuevo Reglamento (UE) 2016/619 General de Protección de Datos (RGPD), ha tenido lugar la irrupción de una nueva figura que va a suponer la mayor garantía de cumplimiento de la nueva normativa: el Delegado de Protección de Datos (en lo sucesivo, por sus siglas en inglés, el “DPO”).

Sin embargo, existe un temor latente por parte de las compañías en torno a las consecuencias que esta nueva situación pueda acarrear, en base a que el DPO es percibido por éstas como un potencial acusador de los posibles incumplimientos a las autoridades de control en materia de protección de datos.

Pero, ¿existe realmente una base sobre la que se sostenga esta idea?

En el presente artículo se abordará el marco jurídico sobre el que actuará el DPO, para así entender las distintas implicaciones que realmente supondrá su actuación como mediador de las organizaciones con aquellos encargados del ineludible cumplimiento de la normativa.

Características y funciones del DPO

El DPO se constituye como un profesional con conocimientos especializados que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de las organizaciones.

El DPO no puede ser designado sin criterio alguno, se debe atender a sus aptitudes, cualificaciones profesionales y a su conocimiento especializado de la legislación y la materia en concreto. Sin embargo, una titulación previa no tiene por qué ser necesaria para ofrecer la función de DPO: la acreditación de una titulación en Derecho no garantiza tener las aptitudes requeridas para el puesto en cuestión.

Se permite que el DPO pueda formar parte de la plantilla de la organización siempre que goce de total independencia en sus funciones, o bien que sea un tercero (persona física o jurídica) quien desempeñe sus funciones dentro del marco de un contrato de servicios.

Las funciones principales de un DPO son:

  • Asesoramiento permanente: informar y asesorar a la organización, sus encargados y responsables del tratamiento y a sus empleados que se ocupen del tratamiento de datos sobre las obligaciones que les incumben en virtud del RGPD y las posibles novedades normativas.
  • Garantía de cumplimiento: supervisar el cumplimiento de lo dispuesto en el RGPD y de las políticas de la organización en materia de protección de datos personales, incluida la revisión de documentos, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y la coordinación de las auditorias correspondientes.
  • Evaluaciones de impacto (EIPD): ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativa a la protección de datos que debe realizar la organización en concreto.
  • Violaciones de seguridad: supervisar el procedimiento de gestión de incidencias y la comunicación a la AEPD con menos de 72 horas las posibles violaciones de datos personales o brechas de seguridad
  • Contacto con los interesados: actuar como punto de contacto de los interesados ante cualquier modalidad de ejercicio de sus derechos.
  • Contacto con la Agencia Española de Protección de Datos: cooperar con la autoridad de control y actuar como intermediario de la misma para cuestiones relativas al tratamiento, incluidas la realización de consultas y la respuesta a solicitudes.

El DPO debe ejercer estas funciones respetando el deber de secreto y confidencialidad y prestando atención a los riesgos asociados a las operaciones de tratamiento.

La obligatoriedad de contar con un DPO en la organización

A la espera de una reforma en la Ley nacional que profundice en este aspecto, la normativa europea recoge una serie de supuestos en los que se establece la designación obligatoria de un DPO por parte de la empresa:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
  • Cuando estemos ante tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Resulta necesario puntualizar ciertos términos para la comprender de forma efectiva cuando resulta necesaria la designación de un DPO. El Grupo de Trabajo del Art. 29 ha tratado de dar respuesta a algunas cuestiones:

¿Qué se considera por actividad principal? – Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.

¿Qué se considera por “gran escala”? – el Reglamento no ha establecido una cifra exacta para determinar el significado de “gran escala”, por lo que se deben tener en cuenta: el número de interesados afectados; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

¿Qué entendemos por categorías especiales de datos personales? – aquellos datos que revelen de una persona física el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la vida sexual.

Adicionalmente, debemos tener en cuenta que cualquier organización que no esté obligada a disponer de un DPO en virtud del Reglamento, podrá voluntariamente designar uno que garantice la correcta aplicación de la normativa de protección de datos.

Pero, ¿por qué debe una empresa designar un DPO aun no siendo estrictamente obligatorio?

Nos encontramos ante un panorama donde los datos personales, con la llegada de distintas tecnologías disruptivas como el Big Data, están cobrando cada vez más relevancia en el seno de multitud de empresas que los utilizan como la base sobre la que desarrollar su estrategia, situándose su correcta interpretación como un factor competitivo diferencial. Sin duda, las empresas necesitarán cada vez más de una labor supervisora por parte de una persona experta en la materia que evite cualquier conducta que ponga en peligro la seguridad de los datos que hayan sido tratados y la correcta aplicación de la normativa.

En definitiva, para el cumplimiento de un contexto jurídico donde la proactividad se ha situado como la actitud a implementar de manera obligatoria, sin duda el DPO emerge como un elemento esencial para las entidades, especialmente para aquellas que realicen de manera habitual diferentes tratamientos de datos de carácter personal.

Laura Caballero Álvaro

Legal Counsel en Akela

@Akela_Asesores