Consultas Online
Consulta formulada por:
¿Es obligatorio nombrar un delegado de protección de datos?
11.08.20
Hola,
¿Es obligatorio nombrar un delegado de protección de datos en una asociación de familiares de afectados por determinada enfermedad?
Gracias.
Respuestas
Aportada por:
Mabel Cueto (IP-PRIVACY®)
Trabaja en:
Asesor particular
18.08.20
Hola, buen día David,
De acuerdo a tu pregunta y sin tener más información que la que comentas de forma generalizada sobre el tipo de información que la ONG trata. Como son datos de salud. Es necesario que cuenten con un Delegad@ de Protección de Datos.
Entiendo que sois varias personas que intervienen en el tratamiento de los datos personales, así como también son varias las personas que cuentan con sus servicios y apoyo. Además, tener un DPD en vuestro caso es conveniente para contar con un mayor poyo y orientación en la correcta implementación de las normas sobre protección de datos, así como garantizar los derechos y libertades de vuestros asistidos.
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
19.08.20
Estimado David: en relación con la consulta planteada, paso a informarle lo siguiente: inicialmente, debemos de partir del hecho de que no hay una definición normativa del delegado de protección de datos. Ninguna de las normas del Derecho de la Unión Europea o nacional en materia de protección de datos -es decir, ni el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en adelante, RGPD, ni la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante, LOPDGDD, definen la figura del Delegado de Protección de Datos (en adelante, DPD), si bien la regulación de esta figura permite vislumbrar las claves que delimitan quién puede ser y quién no es el DPD.
Al respecto, los servicios de la Comisión Europea sí proporcionan una definición del DPD. En su documento de trabajo sobre la evaluación de impacto relativo a la propuesta de Reglamento General de Protección de Datos (Commission Staff Working Paper, Impact Assessment, SEC (2012) 72 final, Bruselas 25-1-2012), se define al DPD como una persona responsable en el seno de un responsable o un encargado del tratamiento para supervisar y monitorear de una forma independiente la aplicación interna y el respeto de las normas sobre protección de datos. El DPD puede ser tanto un empleado como un consultor externo («A person responsible within a data controller or a data processor to supervise and monitor in an independent manner the internal application and the respect of data protection rules. The DPO can be either an internal employee or an external consultant»).
Lo fundamental de esta definición son tres cuestiones:
- el DPD es la persona que en o dentro de la organización, es decir, que forma parte de la misma con independencia de que lo haga sobre la base de una relación laboral o mercantil, desempeña sus funciones;
-de forma específica, tiene encomendada la función de supervisar y monitorear el cumplimiento de la legislación sobre protección de datos personales; y
- que lo hace de manera independiente.
Por otro lado, si bien el RGPD no menciona si el DPD tiene que ser o puede ser tanto una persona física como una persona jurídica , la LOPDGDD, en su art.35, sí lo precisa. En este mismo sentido, en el Preámbulo de la LOPDGDD se explica que puede ser tanto una persona física como una persona jurídica, siempre que cumpla con los requisitos aplicables en cuanto a su cualificación y demás cuestiones relativas a su estatuto jurídico.
En lo que concierne a la designación de forma obligatoria del DPD, el mismo tendrá que ser designado, según corresponda, es decir, dependiendo de quién tenga obligación de hacerlo, por el responsable o por el encargado del tratamiento.
La obligación de designar a un DPD requiere tener en cuenta tanto el Derecho de la Unión Europea como el Derecho nacional en materia de protección de datos.
En virtud del Derecho de la Unión, hay obligación de designar a un DPD en los siguientes casos:
1. Supuestos previstos en RGPD art.37.1, que son los relativos a:
a) Tratamiento de datos personales realizado por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
Sobre qué se entiende por autoridad u organismo público, el CEPD (organismo de la Unión Europea (UE) responsable de la aplicación del Reglamento general de protección de datos (RGPD) a partir del 25 de mayo de 2018. Está compuesto por el director de cada autoridad de protección de datos (APD) y el Supervisor Europeo de Protección de Datos o sus representantes), indica que el RGPD no lo define, por lo que debe determinarse en virtud del Derecho nacional.
Por consiguiente, las autoridades y organismos públicos incluyen las autoridades nacionales, regionales y locales, pero además el concepto, con arreglo a la legislación nacional aplicable, normalmente incluye también una serie de organismos regidos por el Derecho público (CEPD directrices).
A tal efecto, debe tenerse en cuenta lo dispuesto en LOPDGDD, art.77.1, que incluye los siguientes responsables o encargados del tratamiento:
- Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
-Los órganos jurisdiccionales.
-La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración local.
-Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones públicas.
-Las autoridades administrativas independientes.
-El Banco de España.
-Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de Derecho público.
-Las fundaciones del sector público.
-Las universidades públicas.
-Los consorcios.
-Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.
Excepto en el caso de los órganos, en los términos ya indicados conforme al RGPD art.37.1, las entidades indicadas tienen que designar, de manera obligatoria, a un DPD.
Con todo lo anterior, cabe colegir, a la luz de lo expuesto, que la designación de un DPD no es obligatoria en el seno de vuestra entidad, aunque sí recomendable para velar por el cumplimiento del RGPD, considerándose el DPD como una suerte de mediador y orientador dentro de vuestra organización, de enlace con la AEPD, en caso de conflicto, y en última instancia, como un referente de una persona afectada dentro de vuestra entidad por haber hecho un presunto mal uso de sus datos personales.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com