¿Necesito nombrar un Delegado de Protección de Datos?
A raíz de la aprobación del Reglamento Europeo de Protección de Datos, mucho se oye hablar de la figura del DELEGADO DE PROTECCIÓN DE DATOS, similar a la del Responsable de Seguridad establecida en el actual RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD.
Dicho Delegado viene definido en los artículos 37, 38 y 39 del Reglamento Europeo.
Lo primero que debemos preguntarnos es si siempre es obligatorio su nombramiento.
La respuesta es no, y sólo procederá en los siguientes casos:
1º. Cuando el tratamiento de datos lo realice una autoridad u organismo público, con excepción de los tribunales de justicia.
2º. Cuando la actividad principal del responsable de fichero consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.
3º. Cuando la actividad principal del responsable de ficheros consista en el tratamiento a gran escala de categorías especiales de datos personales del artículo 9 (origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos sobre condenas e infracciones penales.
¿Y qué significa exactamente aquí “gran escala”? Leyendo, no obstante, los Considerandos del Reglamento Europeo, encontramos las siguientes aclaraciones:
1º . El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.
2º. […] operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad…
Sus funciones exactas están definidas en el artículo 39 del Reglamento Europeo, y serían las siguientes:
1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. Cooperar con la autoridad de control;
5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
¿Y quién puede ser, por último, Delegado?
Dice el Reglamento en sus Considerandos lo siguiente:
Una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.
Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.