El delegado de protección de datos en la empresa

El Reglamento (UE) 2016/679 Del Parlamento Europeo Y Del Consejo de 27 de abril de 2016 sobre protección de datos personales y regulación de la libre circulación de datos está vigente en España a partir del pasado 25 de mayo de 2018.

Supone la normativa legal para la protección de datos personales en España al ser una norma directamente aplicable que no requiere normas de transposición a nuestro Derecho nacional ni, tampoco, normas de desarrollo.

Las empresas deben adaptarse a esta nueva norma, pero su contenido no es muy diferente de la anterior Directiva 95/46 por lo que las empresas que ya cumplían la anterior LOPD (Ley Orgánica 15/1999, de 13 de diciembre) ya tienen una buena parte de sus obligaciones cumplidas.

La responsabilidad última del cumplimiento de la normativa sobre protección de datos incumbe al responsable de la empresa que será quién determine cómo se va a cumplir en lo relativo al tratamiento de datos.

Además de configurar las acciones a llevar a cabo y mantener un registro de dichas actividades de tratamiento, el responsable debe nombrar un delegado de protección de datos en los casos en que tal figura es requerida por la Ley.

La figura del delegado de protección de datos es obligatoria en los siguientes casos:

• Para las administraciones y organismos públicos.
• Cuando el responsable o encargado realice, entre sus funciones, el tratamiento de datos de personas a gran escala.
• Cuando el responsable o encargado trate datos a gran escala de datos sensibles.

La persona elegida para el cargo de delegado de protección de datos deberá estar cualificado profesionalmente para ello: aunque no se requiere una titulación específica está claro que va a necesitar tener los conocimientos jurídicos necesarios relativos a la materia de protección de datos, pero también deberá tener la preparación necesaria en otros aspectos que no son jurídicos, como la tecnología que se utiliza para el tratamiento de datos personales o las tareas organizativas, en la empresa, para el desarrollo de esta función.

La Agencia Española de Protección de Datos ha implementado un sistema de certificación para profesionales de protección de datos que puede utilizarse para la evaluación de los candidatos a ocupar el puesto de delegado de protección de datos y ver si cumplen sobre su cualificación profesional y conocimientos. Las certificaciones se expiden por entidades certificadoras autorizadas por la Autoridad Nacional de Certificación siguiendo los criterios que ha fijado la AEPD en colaboración con los sectores afectados.

Esta certificación no es obligatoria para ejercer el cargo y quién nombra al delegado puede tomar en consideración otros datos; pero está para facilitar la selección.

El nombramiento de este delegado y sus datos de contacto se harán públicos y, además, deberán comunicarse por el responsable de la empresa a las autoridades de supervisión competentes, normalmente a la Agencia de Protección de Datos.

En cuanto al desarrollo de sus funciones, el Reglamento exige que se cumplan las siguientes condiciones:

• Autonomía total para ejercer sus funciones.
• Debe relacionarse con la dirección de la empresa al más alto nivel.
• Debe contar con todos los recursos, materiales y humanos, para el desarrollo de su actividad.

En el caso de un grupo de empresas se nombrará un único delegado de protección de datos para todo el grupo. Deberá ser accesible desde todos los establecimientos del grupo.

Esta accesibilidad se entenderá de la manera más amplia: desde la posibilidad física de todas las personas relacionadas con el grupo hasta la accesibilidad en cuanto al idioma, ya que los interesados deberán poder contactar con él en su propia lengua, aunque el delegado cumpla sus funciones en otro estado miembro de la UE.

El delegado de protección de datos puede trabajar bajo una relación laboral con la empresa afectada o no tenerla y prestar sus servicios con un contrato de arrendamiento de servicios. En este segundo caso se puede encomendar el servicio a personas jurídicas, sociedades mercantiles cuya actividad sea la gestión de protección de datos personales.

También puede desarrollar sus funciones en jornada completa o a tiempo parcial.

Si trabaja a tiempo parcial y con una relación laboral debe evitarse la existencia de conflictos de intereses; existirá tal conflicto de intereses cuando el delegado de protección de datos, como trabajador de la empresa, deba evaluarse a sí mismo o su propio trabajo. Esto va a suceder, por ejemplo, si se nombra para el puesto de delegado de protección de datos al responsable informático de la empresa (cuando estas instalaciones informáticas sean las que realizan el tratamiento de datos a supervisar) o a un responsable de área de negocio que pueda estar, también, afectada.

Entre las funciones que el Reglamento asigna al delegado de protección de datos está, también, ser el punto de contacto entre la empresa y los interesados en todo lo que se refiera al tratamiento de sus datos personales.