El guardià de les dades de l’empresa

La figura del Delegat de Protecció de Dades (DPO) no és exactament una figura nova però sí una figura clau en el nou Reglament Europeu de Protecció de Dades, que exigeix la necessitat d’aquest responsable dins les empreses que reuneixin certes condicions.

No és exactament una figura nova perquè a alguns organismes o empreses ja existia el Data Protection Officer o Chief Privacy Officer. Fins i tot els coneguts com a Responsables de Seguretat, que tampoc eren exactament el mateix però que sí ostentaven funcions similars, tot i que no es trobaven tan taxades com amb el nou Reglament.

Qui pot ser Delegat de Protecció de Dades?

El Delegat de Protecció de Dades és un professional que ha de ser designat tenint en compte les seves qualitats professionals, amb coneixements especialitzats en dret i pràctica en matèria de protecció de dades.

Pot ser un professional intern o extern i ha de dur a terme una sèrie de funcions, segons l’article 39 del Reglament, com les següents:

1. Informar i assessorar el responsable o l'encarregat del tractament i els empleats que s'ocupin del tractament, de les obligacions que els incumbeixen en virtut d'aquest Reglament i d'altres disposicions de protecció de dades de la Unió o dels estats membres.
2. Supervisar el compliment del que disposa el Reglament, d'altres disposicions de protecció de dades de la Unió o dels estats membres i de les polítiques del responsable o de l'encarregat del tractament en matèria de protecció de dades personals, inclosa l'assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.
3. Oferir l'assessorament que se li demani sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar la seva aplicació.
4. Cooperar amb l'autoritat de control.
5. Actuar com a punt de contacte de l'autoritat de control per qüestions relatives al tractament, inclosa la consulta prèvia a què es refereix l'article 36, i realitzar consultes, si s’escau, sobre qualsevol altre assumpte.

De fet, també se li assignen les següents obligacions:

1. Valorar l'impacte per a la privacitat i protecció de dades personals dels nous projectes que vulgui dur a terme l’empresa, nous tractaments o noves normes que afectin a l'organització.
2. Centralitzar l'atenció dels exercicis dels drets dels interessats i l'atenció de les reclamacions formulades pels interessats; o bé la supervisió de les incidències que es puguin produir.
3. Centralitzar les relacions institucionals internes amb els departaments afectats pel compliment normatiu, és a dir, amb els responsables interns dels diferents tractaments (abans fitxers), amb el departament d’informàtica; amb Recursos Humans, entre d’altres.
4. Coordinar els plans d’auditoria.
5. Impulsar l'adopció de mesures correctores i de millora per assegurar el compliment.
6. Impulsar i promoure bones pràctiques en protecció de dades, així com promoure i impulsar la formació, educació i conscienciació en matèria de protecció de dades.

A més, ha de dur a terme aquestes funcions prestant la correcta atenció als riscos associats a les operacions de tractament; tenint en compte la seva naturalesa, abast, context i les finalitats del propi tractament, havent de respondre davant del més alt nivell jeràrquic del responsable del tractament o entitat que el contracti, entre d’altres obligacions.

Ha de ser designat tenint en compte les seves qualitats professionals, amb coneixements especialitzats en dret

Quan cal un Delegat de Protecció de Dades?

Per una banda, és obligatori segons el nou Reglament disposar d’un Delegat de Protecció de Dades en els següents casos o quan es doni alguna de les següents situacions:

1. El tractament es dugui a terme per una autoritat o organisme públic, exceptuant els tribunals que actuïn com a conseqüència de l'exercici de la seva funció judicial.
2. Quan les activitats principals del responsable o encarregat consisteixin en operacions de tractament que, per la seva naturalesa, abast i/o fins, requereixin una observació habitual i sistemàtica d'interessats a gran escala. El problema que s’anirà definint progressivament és el que s’entendrà per “observació sistèmica i progressiva”. Veurem com es pronuncien les diferents autoritats de protecció de dades, el grup de treball de l’article 29 o les diferents legislacions nacionals, en el seu cas, al respecte.
3. Quan les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades personals d'acord amb l'article 9 del Reglament i de dades relatives a condemnes i infraccions penals a què es refereix l'article 10. En aquest punt, la clau serà definir també, què s’entén per tractament a gran escala. No obstant, sobre aquest punt sí que trobem una mica de llum al Considerant 91 del mateix Reglament, on s’estableix que un tractament a gran escala podria ser “quan s’afecti a un gran número d’interessats i que allò comporti alt risc per als seus drets i llibertats”; “quan s’elaborin avaluacions sistemàtiques i exhaustives d’aspectes personals, per elaboració de perfils o pel tractament de dades sensibles, biomètriques o sobre condemnes o infraccions penals o altres mesures de seguretat relacionades”; “quan hi hagi control de zones d’accés públic a gran escala mitjançant l’ús de dispositius optoelectrònics”. També a l’esborrany del Reglament, s’havia dit que quan es tractessin dades de més de 5.000 persones físiques en un termini d’un any ininterrompudament, es podia considerar d’aplicació la figura del DPO.

Per altra banda, hi ha casos on la incursió d’un DPO és recomanable però no obligatòria:

1. Quan hi hagi complexitat legal en el tractament de les dades.
2. Per a una major conscienciació dels interessats sobre els seus drets i vies de protecció de les seves dades.
3. Per tal de vetllar per la privacitat dels clients o usuaris i també per prevenir l’incórrer en sancions.

Existeix també un dubte sobre si serà necessari o no tenir un delegat de protecció de dades a les empreses de menys de 250 treballadors, ja que el sentit del Reglament és tenir en compte també les petites i mitjanes empreses (Considerant 13 del Reglament) a l'efecte de no donar-los més obligacions de les que podrien assumir. S'entén que també dependrà de la complexitat de l'empresa i de la categoria i volum de dades tractades però haurem d’esperar a veure com evoluciona aquest concepte.

Les sancions per incompliment poden ser de fins a 10 milions d’euros o d’un 2% del volum anual de l’exercici financer

Recordem que el nou Reglament de protecció de dades serà d’obligat compliment a partir del 25 de maig de 2018. Per tant, és recomanable que les empreses vagin revisant els seus protocols i mesures a la major brevetat possible, atès que el nou Reglament no només incorpora aquesta figura sinó tot un seguit de mesures i pautes noves destinades a vetllar per la seguretat i la privacitat dels usuaris.

Important destacar, en aquest sentit, que les sancions per la infracció de la normativa de protecció de dades també han variat i que cal tenir-les molt presents ja que poden ser de fins a 10 milions d’euros o d’un 2% del volum anual de l’exercici financer de les entitats, en funció de la infracció; o fins a 20 milions d’euros o un 4% del volum, també, en cas d’infracció, per exemple, de principis bàsics del Reglament.