redseguridad 076
La figura más novedosa E l 13 de diciembre de 2016, el Grupo de Trabajo del Artículo 29 hizo públicas varias guías, a través de las cuales pretendía facilitar directrices y cierta ayuda interpretativa a todas aquellas entidades directa o indirec- tamente afectadas por la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea. Esas fueron las primeras directrices sobre la materia, que se emitieron tras la aprobación de dicha norma en abril de 2016. Dentro del amplio abanico de conceptos del Reglamento que requieren desarrollo ulterior (algo bastante atípico en un Reglamento europeo), una de estas guías se centra en –posiblemente– la figura más novedosa de este ordenamien- to europeo: el delegado de protec- ción de datos (artículo 37). Aunque ni la ya derogada Directiva 95/46/ CE sobre protección de datos ni la normativa española al respec- to recogían dicha figura, algunos ordenamientos jurídicos nacionales sí contemplaron en la transposi- ción de la citada Directiva figuras con similares atribuciones. Tal fue el destacado caso de Alemania, en cuya reglamentación se inspira claramente el Reglamento europeo. Uno de los mensajes más desta- cables que transmite en su guía el Grupo de Trabajo en relación con el nombramiento de un delegado de protección de datos (DPD) es que todas las entidades deberían incorporar a uno de estos profe- sionales de manera voluntaria en su organigrama, incluso en aquellos casos en los que no resulte jurídica- mente obligatorio. Parece como si las autoridades del Grupo de Trabajo persiguiesen que la figura del DPD se convierta en una especie de "alia- do" de la autoridad o amicus curiae dentro de la entidad de que se trate. Esta idea se ve reforzada por lo regulado respecto a esta figura en el Reglamento europeo en cuanto a la independencia que tanto responsa- bles como encargados deben asegu- rar a sus delegados de protección de datos en relación con sus funciones. LLega incluso a establecer que no será destituido ni sancionado por desempeñar dichas funciones, enten- demos, con honestidad y rectitud. En esta misma línea, el DPD de datos deberá rendir cuentas al más alto nivel jerárquico en la organiza- ción de la entidad responsable o encargada del tratamiento de datos personales. En lo que se refiere a la formación profesional del DPD, el Reglamento europeo de protección de datos establece que será designado aten- diendo a sus cualidades profesio- nales; en particular, a sus conoci- mientos especializados en Derecho y sobre la práctica en materia de protección de datos, así como a su capacidad ( soft skills ) para des- empeñar las funciones que se le encomienden. Asimismo, resulta compatible que el DPD desempeñe otras funciones en la organización empresarial, siempre que las mismas no interfieran con el ejercicio de las funciones propias del delegado. Una obligación De acuerdo con el nuevo Reglamento, el nombramiento de un DPD resulta obligatorio para cualquier autoridad y organismo público, para aquellas entidades cuyas actividades prin- cipales impliquen una observación habitual y sistemática de interesa- dos a gran escala, así como para aquellas cuyas actividades principa- les impliquen el tratamiento a gran escala de categorías especiales de datos personales y datos relativos a condenas e infracciones. El Grupo de Trabajo del Artículo 29, además de abordar en su guía con cierto detalle ejemplificativo algunos conceptos indeterminados ya mencionados –tales como "gran escala" y "actividades principales"–, también recomienda que las empre- sas generen prueba documental sobre el análisis jurídico que hayan realizado a la hora de determinar la obligatoriedad (o no) de designar un delegado de protección de datos, con el fin de que –en un momento dado– la autoridad de control com- petente pueda comprobar que todos estos elementos fueron adecuada- mente ponderados. 64 red seguridad primer trimestre 2017 especial Rafael García del Poyo Socio Responsable. Departamento de Nuevas Tecnologías de Osborne Clarke A rtículo DPD monográfico
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz