En esta entrada continuamos con nuestra disección de la normativa sobre protección de datos personales (PD) en el ámbito español. En la anterior entrada habíamos visto dos tipos de actores que se veían afectados por la normativa: los titulares de datos personales (a quienes se reconoce y protege derechos) y, por otro lado, los responsables y encargados de los tratamientos de estos datos (a quienes se obliga a respetar y garantizar estos derechos).
Ahora veremos un tercer tipo de actores (los mecanismos de control) que desarrollan la función de controlar que los responsables y encargados cumplan con la normativa y, en algunos casos, intermediar entre los interesados y los responsables de los tratamientos.
¿Quién hace de policía de la normativa de PD?
La legislación atribuye el poder ejecutivo, es decir la responsabilidad de supervisar su aplicación, a las autoridades independientes de control. Pero ¿dónde se encuentran estos organismos? El RGPD estipula, en el artículo 51, que cada estado miembro de la UE establecerá, como mínimo, una autoridad pública independiente que supervisará la aplicación de la normativa de PD.
Por otro lado, la UE crea un Comité Europeo de PD para coordinar estas autoridades independientes. En el caso de España, la autoridad independiente es la Agencia Española de Protección de Datos que, a su vez, debe coordinar otras autoridades de control de ámbito regional. La causa de esta multitud de autoridades se debe a la organización territorial propia del Estado Español, la cual se caracteriza por la descentralización de una serie de competencias estatales en los gobiernos de las diferentes comunidades autónomas. Cabe decir que, dado que se trata de una competencia transferida, en algunas autonomías ya existían organismos independientes de supervisión de la PD. En estos casos, como por ejemplo el de Cataluña, las autoridades autonómicas han tenido que adaptarse a las novedades del RGPD. Nos interesa saber cómo se ordenan todas estas autoridades de control y qué hace cada una de ellas.
¿Cómo se estructuran todo este conjunto de autoridades de control?
En el siguiente esquema lo podemos ver:
¿Qué hacen cada una de ellas?
En el siguiente cuadro tenemos un resumen del tipo de competencias de cada una, tomando como referencia territorial la comunidad autónoma de Cataluña.
El delegado de protección de datos
El RGPD crea esta nueva figura de intermediación. El delegado de protección de datos (DPD) es un especialista de protección de datos que supervisa la aplicación de la normativa. Teniendo en cuento lo novedoso de esta figura nos interesa profundizar en ella. Para ello, nos haremos las siguientes preguntas:
1. ¿Cuándo es pertinente?
En algunos casos los responsables están obligados a nombrar uno y en los otros es voluntario. Están obligados a nombrar uno:
- Las Administraciones Públicas
- Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que requieran una observación habitual, sistemática y a gran escala de sus titulares.
- Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales.
2. ¿Quién lo designa?
- El responsable (y/o el encargado) del tratamiento
- Diferentes Administraciones Públicas pueden designar un DPD compartido.
- Grupos de empresas o asociaciones empresariales también pueden designar y compartir un DPD.
3. ¿Cómo debe ser?
- Competente: Un DPD debe ser designado en base a sus cualidades profesionales y, en particular, a sus conocimientos especializados en derecho y práctica en materia de protección de datos.
- Empleado o colaborador: puede formar parte de la plantilla de la empresa del responsable o ser contratado como autónomo. También puede tener dedicación completa o a tiempo parcial en función de los datos y los tratamientos en cuestión.
- Accesible: el responsable debe hacer públicos los datos de contacto del DPD y comunicar su contratación a la autoridad de control en un plazo de 10 días.
- Independiente: el responsable debe garantizar la participación del DPD a todo lo relativo a la protección de datos y, a su vez, el DPD no puede ni recibir instrucciones ni ser sancionado o destituido por el desarrollo de sus funciones.
- Discreto: el DPD está obligado a mantener la confidencialidad en el desarrollo de sus funciones.
4. ¿Qué funciones tiene?
- Informar y asesorar al responsable y/o al encargado del tratamiento
- Supervisar el cumplimiento y el desarrollo de la normativa
- Asesorar sobre la evaluación de impacto relativa a la protección de datos.
- Ser el punto de contacto de la autoridad de control
- Otras que el responsable le encomiende siempre que no den lugar a un conflicto de intereses.
5. ¿Cómo se relaciona con los actores del sistema de protección de datos?
En la siguiente tabla podemos ver cómo se relacionan las 4 figuras que hemos visto hasta ahora.
En resumen…
En los anteriores posts hemos visto como con la nueva normativa se repercute la responsabilidad de conocer y aplicar la ley a los responsables y encargados del tratamiento. En este post, en cambio, hemos visto que la responsabilidad de supervisar el cumplimiento de la ley recae en las autoridades independientes de cada Estado. Asimismo debemos recordar que todas estas autoridades de control deben cooperar entre sí con el objetivo último de aplicar la normativa de PD.
Por otro lado, para ayudar a los responsables y encargados, las autoridades de control y los titulares de datos nace la figura del Delegado de Protección de Datos.
LaBInoteca 