El Reglamento General de Protección de Datos (RGPD), directamente aplicable en nuestro país el 25 de mayo de 2018, proporciona un marco de cumplimiento modernizado y basado en la rendición de cuentas para la protección de datos en Europa.
Los Delegados de Protección de Datos (DPO) estarán en el corazón de este nuevo marco legal para muchas organizaciones, facilitando el cumplimiento de las disposiciones de esta normativa.
Según el RGPD , es obligatorio que ciertos controladores y procesadores designen un DPO.
Todas las autoridades y organismos públicos (con independencia de los datos que traten), y otras Organizaciones que, como actividad principal, monitorean sistemáticamente a los individuos y en gran escala, o que manejan categorías especiales de datos personales a gran escala deben nombrar un Delegado de Protección de Datos.
Incluso cuando el Reglamento UE no exige específicamente el nombramiento de un DPO, las organizaciones pueden estimar útil nombrarlo de manera voluntaria.
El Consejo de Europea se formó después de la Segunda Guerra Mundial con el objetivo de reunir a los Estados de Europa para promocionar:
Para ello, adoptó el Convenio Europeo de Derechos Humanos (CEDH) en 1950, el cual entró en vigor en 1953.
Los Estados tienen la obligación internacional de cumplir el CEDH.
Todos los Estados miembros del Consejo de Europa ya han incorporado o aplicado el CEDH en su legislación nacional. Lo cual les exige que actúen de conformidad con las disposiciones del Convenio.
El derecho a la protección de los datos personales forma parte de los derechos protegidos al amparo del artículo 8 del CEDH. Que garantiza el derecho al respeto de la vida privada y familiar, el domicilio y la correspondencia y determina las condiciones bajo las cuales podrían ser aceptables las limitaciones a ese derecho.
Con el auge de la tecnología de la información en la década de 1960, se generó una creciente necesidad de contar con normas más detalladas para salvaguardar a las personas físicas. Y proteger sus datos (personales).
A mediados de la década de 1970, el Comité de Ministros del Consejo de Europa adoptó diversas resoluciones en materia de protección de datos personales.
El Convenio no 108 se aplica a todo el procesamiento de datos llevado a cabo tanto por el sector privado como público. Por ejemplo el procesamiento de datos que realizan las autoridades judiciales y policiales.
Protege a las personas físicas contra los abusos que pueden conllevar la recogida y el tratamiento de datos personales. A la vez que busca regular los flujos transfronterizos de datos.
Por lo que a la recopilación y al tratamiento de datos personales se refiere, los principios establecidos en el Convenio afectan, en particular, a:
También conciernen a la calidad de los datos. En particular que deben ser adecuados, pertinentes y no excesivos (proporcionalidad), así como exactos.
El principal instrumento jurídico de la UE en materia de protección de datos es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Directiva de protección de datos).
Fue adoptada en 1995, en un momento en que diversos Estados miembros ya habían adoptado legislaciones nacionales en materia de protección de datos.
La libre circulación de bienes y servicios, capitales y personas en el mercado interior exige la libre circulación de datos, la cual no podría llevarse a cabo salvo que los Estados miembros puedan confiar en un nivel elevado y uniforme de protección de datos.
La Directiva de protección de datos está diseñada para dar contenido a los principios del derecho a la privacidad ya contemplados en el Convenio nº 108. Así como para ampliarlos.
La aplicación territorial de la Directiva de protección de datos se amplía más allá de los 28 Estados miembros de la UE. Incluye también a los Estados no miembros de la UE que forman parte del Espacio Económico Europeo (EEE).
El concepto de DPO no es nuevo.
Aunque la Directiva 95/46/ CE no exigía que las organizaciones nombraran un DPO, la práctica de nombrarlo se ha desarrollado en varios Estados miembros a través de los años. Antes de la adopción del RGPD, se argumentó que el Delegado de Protección de Datos era una piedra angular de la rendición de cuentas, y que su designación puede facilitar el cumplimiento y, además, convertirse en una ventaja competitiva para las empresas.
Además de posibilitar el cumplimiento a través de la implementación de la responsabilidad (como facilitar o llevar a cabo evaluaciones de impacto de la protección de datos y auditorías), se consideran intermediarios entre las partes interesadas pertinentes (por ejemplo, las autoridades de supervisión, las personas y unidades dentro de una organización).
Los Delegados de Protección de Datos no son responsables en caso de incumplimiento de lo dispuesto en el Reglamento. El RGPD indica que es el responsable del tratamiento debe garantizar y poder demostrar que el tratamiento se realice de conformidad con sus disposiciones. El cumplimiento es una responsabilidad del controlador o del procesador.
El controlador o el procesador también tiene un papel crucial para permitir el trabajo del DPO. La designación éste es un primer paso, pero también deben proporcionarle los recursos para llevar a cabo sus tareas con eficacia.
El RGPD reconoce al DPO como un actor clave en el nuevo sistema de gestión de datos y las condiciones para su nombramiento, cargo y tareas.
El objetivo de estas directrices es clarificar las disposiciones propias de esta normativa para facilitar que los controladores y procesadores puedan cumplir con la ley, también para ayudar a las Autoridades de Protección de Datos en su papel.
Las directrices también proporcionan recomendaciones sobre prácticas óptimas, sobre la base de la experiencia adquirida en algunos Estados miembros de la UE.
El día 6 de diciembre de 2018 ha entrado en vigor en nuestro país la ley que desarrolla el RGPD, la LOPDGDD.
En ella se regula también la figura del Delegado de Protección de Datos. Y concreta los supuestos en los que es obligatorio designar un DPO.