El próximo 25 de mayo se cumplirán cinco años desde la aplicación del Reglamento General de Protección de datos (GDPR en sus siglas en inglés). Recordemos que el RGDP fue publicado en mayo del 2016.
El reglamento, y su posterior transposición a la legislación española (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD) plasma, entre otras muchas, la figura del delegado de protección de datos (DPO por sus siglas en inglés).
La figura del DPO actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos o, en su caso, también ante las autoridades autonómicas de protección de datos.
En cuanto a la cualificación del delegado de protección de datos, en el RGPD (art. 37.5), se especifica que: «será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del Reglamento».
Recientemente, el European Data Protection Board, (EDPB), ha puesto en marcha una acción coordinada con las 26 autoridades de control del todo el Espacio Económico Europeo (EEE), sobre la designación y el cargo de los delegados de protección de datos.
A nadie se le escapa que, en muchas organizaciones, el nombramiento de la figura del DPO ha sido meramente para cumplir con la obligación que dispone la legislación, tanto el RGDP como de la LOPDGDD, sin que, en algunos casos, se cumplan las condiciones establecidas en el citado artículo 37.5 del RDDP. La citada acción del EPDB trata de comprobar si los DPO’s nombrados por las organizaciones tienen la posición y los recursos necesarios para llevar a cabo sus tareas.
Cabe recordar que la figura del DPO es obligatoria para todas las empresas de seguridad privada. La necesidad del nombramiento de esta figura en las empresas de seguridad, además de la obligación definida en el art. 34 de la LOPDGDD, vine motivada por la gran variedad de tratamientos que, desde una empresa de seguridad, se llevan a cabo y, sobre todo, tratamientos que los que se puede actuar como responsable, encargado o corresponsable del tratamiento y, sin perder de vista que, en ocasiones, se tratan datos a gran escala (por ejemplo, videovigilancia). En este caso, y así lo demuestran las diferentes resoluciones de la Agencia española de Protección de datos, la instalación de un sistema de videovigilancia debe diseñarse e realizarse de acuerdo con:
- El principio de legitimación del tratamiento; la videovigilancia debe tener una base jurídica que la legitime.
- El principio de proporcionalidad, es decir, que la instalación del sistema de videovigilancia era la opción menos invasiva para alcanzar la finalidad perseguida y, por otro lado, que las imágenes solo se usarán con el fin especificado por el responsable del tratamiento y no para otros fines distintos.
- El principio de transparencia, colocar el correspondiente cartel de zona de videovigilancia, con la información obligatoria.
- El principio de minimización, no se deben colocar cámaras que invadan la privacidad de los interesados y quienes pueden ver las cámaras de seguridad deben ser las mínimas personas posibles.
- Realizar la correspondiente evaluación de impacto cuando el uso de nuevas tecnologías entrañe un alto riesgo para los derechos y libertades de las personas físicas mediante el tratamiento de datos que pretenda realizar una observación sistemática a gran escala.
Un error muy común es que esta evaluación de impacto la realice el DPO de la empresa de seguridad. La función de un DPO, de acuerdo con el art.39 del RGPD, es «ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto y supervisar su conformidad…», es decir, las evaluaciones de impacto no pueden ser realizadas por el DPO de la empresa de seguridad.
Tal y como establece el RGPD en su art.37.7, es obligatorio que los responsables o encargados del tratamiento, según corresponda, deben publicar los datos de contacto del DPO y, también, se deben comunicar a la Autoridad de Control (Agencia española de Protección de datos).
