Requisitos y funciones de un delegado de protección de datos

Nueva ley de protección de datos en Andorra

Con la entrada en vigor el pasado 17 de Mayo de 2022, de la nueva Ley 29/2021, de 28 de octubre, cualificada de protección de datos personales en Andorra (Ley 29/2021 en adelante), emergió la necesidad del cumplimiento normativo por parte de las entidades públicas y privadas ubicadas en el territorio andorrano, constituidas bajo las leyes del Principado, o en el caso de no cumplirse ninguno de esos parámetros, a aquellas entidades que no ubicadas en el territorio andorrano utilicen medios de tratamiento ubicados en el territorio andorrano, ya sean automatizados o no.

El reciente cumplimiento normativo, supuso la aparición de nuevas obligaciones que no se acometían hasta la fecha, tales como:

• Deber de realizar un Registro de Actividades.
• Actualización de las Cláusulas informativas.
• Principio de Responsabilidad proactiva de las entidades.
• La ampliación del catálogo de derechos para los interesados.
• Incorporación de la figura del Delegado de Protección de Datos.
• Elaboración de una Evaluación de Impacto.
• Códigos de Conducta para correcta aplicación normativa.
• Deber de notificación de violaciones de seguridad a la APDA.

Entrando al detalle objeto de la presente publicación, nos centraremos en la reciente obligación de incorporar la figura del Delegado de Protección de Datos, para así conocer qué implica esta obligación y que sujetos deben acometerla.

¿Qué es el Delegado de Protección de Datos?

La figura del Delegado de Protección de Datos (DPD en adelante) o Data Protection Officer (DPO), es una figura novedosa en el ámbito de la Protección de Datos de Carácter Personal en el territorio andorrano, pero que ya encontrábamos regulado en la Sección 4ª del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD en adelante), que viene aplicándose desde el 25 de mayo de 2018.

La Ley 29/2021 introduce esta nueva figura, pero no nos ofrece una definición concreta de la misma en su artículo 38, no obstante, de la Guía publicada por la Agencia Andorrana de Protección de Datos, nos aclara que:

“Es una figura que actúa de forma independiente y es nombrada por la entidad, atendiendo a sus cualidades profesionales, así como sus conocimientos especializados en derecho y la práctica en protección de datos, posicionado como de garante del cumplimiento de la normativa en protección de datos dentro de la organización.”

Dicho lo anterior, no encontramos una definición concreta de la figura del DPD, pero sí que podríamos extraer una definición de la regulación establecida. En este sentido el DPD es la persona que asume la responsabilidad dentro de la entidad de llevar a cabo el desarrollo de las funciones de supervisión, monitorización, independiente y confidencial en relación con el cumplimiento adecuado de la normativa en materia de protección de datos personales.

¿Quién puede ser Delegado de Protección de Datos?

En relación con los requisitos para ser Delegado de Protección de Datos, debemos evidenciar la falta de regulación establecida en la Ley 29/2021, no obstante, la Agencia Andorrana de Protección de Datos nos ofrece directrices escuetas en relación con las cualidades que deben ostentar aquellas personas que quieran desarrollar esta figura profesional.

En tanto en cuanto a la tipología de sujetos que pueden llevar a cabo esta función, la guía establece que podrán ser las personas físicas externas la organización del responsable, personas físicas que formen parte de la organización siempre que se pueda garantizar su independencia, y finalmente personas jurídicas externas a la organización del responsable a través de la formalización de un contrato de servicios.

En cuanto a la mención que realiza la normativa, es en referencia a llevar a cabo una designación atendiendo a las cualidades profesionales, en especial al conocimiento en derecho, no especificándose en un sentido estricto qué tipo de conocimientos, pero siempre teniéndose presente de acuerdo con la sensibilidad, complejidad y cantidad de datos que trata una organización.

Atendiendo a la mención que ofrece la normativa en relación con que la persona ostente experiencia en la práctica en materia de protección de datos, cabe destacar que no se establece una especificación de las cualidades profesionales que deben tenerse, pero cabe destacar que un factor importante es el tener conocimientos sobre la legislación y las prácticas nacionales y europeas en materia de protección de datos.

Siguiendo esta línea, en el caso que nos encontremos con un DPD que ejerza en el ámbito de una Administración pública, se sobreentiende que éste deberá tener conocimientos sólidos de las normas y procedimientos administrativos.

Cabe destacar que si el Delegado de Protección de Datos no dispone de la categoría de experto en todos estos conocimientos antes de la toma de posesión del cargo será necesario movilizar el carácter de experto interno y desarrollar sus desarrollos en sus conocimientos mediante formaciones a cargo del responsable o encargado del tratamiento

Por otra parte, de la mención detallada en relación con la capacidad para ejercer sus funciones, debemos interpretar las cualidades personales, así como los conocimientos dentro de la organización.

En cuanto a las cualidades personales, podemos destacar la integridad, el nivel elevado de ética profesional.

Finalmente, por parte de la entidad debe garantizarse que el sujeto que va a llevar a cabo la figura del DPD, tenga la capacidad de actuar con plena independencia y que así exista una ausencia de conflicto de intereses en el desarrollo de sus tareas.

¿Qué funciones debe acometer el Delegado de Protección de Datos?

Las funciones que debe desempeñar el Delegado de Protección de Datos, se centran en fomentar una cultura de protección de datos dentro de la organización. En este caso, las funciones rigen reguladas en el artículo 38.7 de la Ley 29/2021, expresándose lo siguiente:

• Informar y asesorar del cumplimiento de sus obligaciones al responsable o al encargado del tratamiento, así como a los empleados que se ocupen del tratamiento.
• Llevar a cabo la supervisión de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluyéndose además la asignación de sus responsabilidades.
• Concienciar i formar al personal que participa en las operaciones de tratamiento, así como en las auditorias correspondientes.
• Asesorar en la evaluación de impacto, así como supervisar su aplicación.
• Cooperar con la autoridad de control (APDA).
• Actuar como punto de contacto de l’APDA para las cuestiones relativas al tratamiento, incluyéndose la consulta previa que regula el artículo 33 de la Ley 29/2021.
• Realizar las consultas que sean necesarias, sobre cualquier otro asunto con la APDA.

Analizadas todas las funciones que ostenta el Delegado de Protección de Datos, debemos destacar que las funciones más importantes son las de informar, asesorar y supervisar al responsable del tratamiento respecto de las obligaciones que le impone la normativa, así como atender a las reclamaciones que se puedan presentar en esta materia por parte de los interesados, para facilitar así el cumplimiento en protección de datos, e incluso para que éstos se conviertan en una ventaja competitiva para la entidad.

Otra de las funciones esenciales de esta figura es la de suponer como punto de contacto entre la Agencia Andorrana de Protección de Datos y dar las explicaciones oportunas cuando la protección de datos de carácter personal pueda verse afectada.

La introducción de esta figura tiene como finalidad la consolidación de una cultura de protección de datos en el seno de las organizaciones, para que divulgue, informe, enseñe, asesore y atienda a las necesidades i a los derechos de los interesados, controlando los datos que se protegen de una manera adecuada.

¿Cómo debe favorecer la entidad el cumplimiento de las funciones del DPD?

El DPD será el encargado de llevar a cabo el cumplimiento de sus funciones, pero en este sentido debemos de atender al artículo 39 de la Ley 29/2021, en el cual se establecen unas directrices destinadas a las entidades que dispongan de esta figura, para que estos profesionales puedan llevar a cabo el desarrollo de sus funciones.

Los responsables y encargados del tratamiento tienen establecido el deber de garantizar que participe de manera adecuada y en el momento oportuno en las cuestiones relativas a la protección de datos personales, además de tener la obligación de dar soporte a esta figura en el cumplimiento de sus funciones a través de la facilitación de los recursos necesarios para el desarrollo de sus tareas y para el acceso a las operaciones de tratamiento, así como el mantenimiento y reciclaje de su conocimiento como experto de la materia.

En la misma línea, el precepto legal establece la limitación de los responsables y encargados del tratamiento a la imposición de instrucciones en el desarrollo de las funciones del DPD. En este sentido, el responsable o encargado del tratamiento, no podrá destituir ni sancionar al DPD, por el ejercicio de sus tareas sin llevar a cabo el cumplimiento de sus instrucciones. Cabe destacar, que el DPD únicamente rendirá cuentas con el nivel jerárquico más alto del responsable o del encargado.

La normativa establece los deberes de garantizar y facilitar el desarrollo de las funciones, así como la independencia en su desarrollo, además de potenciarse su formación, pretendiendo asegurar que el conocimiento que el mismo ostenta se mantenga actualizado. Con ello observamos la trascendencia que ofrece el legislador a la especial protección de los Datos de Carácter Personal en el seno de una organización y de su actividad.

¿Qué Empresas deben nombrar al Delegado de Protección de Datos?

Para conocer si nuestra entidad tiene la obligación de incorporar la figura del Delegado de Protección de Datos debemos centrarnos en lo establecido en el art. 38 de la Ley 29/2021, así como en la “Guía Práctica para saber si mi entidad debe designar un Delegado de Protección de Datos” emitida por la APDA el pasado 11 de mayo de 2022.

En este sentido, el apartado primero del artículo 38, establece la obligación de las Administraciones Públicas, de los organismos autónomos, así como de las entidades parapúblicas a designarlo.

Entendemos así que todas las instituciones deberán nombrar la figura del DPD, de manera independiente con el tipo de tratamiento que lleven a cabo. No obstante, el mismo apartado establece la exclusión de los tribunales que actúen en el ejercicio de su función judicial.

En el ámbito de las entidades privadas, el mismo precepto legal establece la obligación de incorporarlo cuando:

• Se lleven a cabo tratamientos de datos personales que requieren de una evaluación sistemática y exhaustiva de aspectos personales basado en un tratamiento automatizado.
• Se lleven a cabo tratamientos de datos personales de categorías especiales a gran escala.

Entenderemos por categorías especiales, todos aquellos datos personales que con su tratamiento puedan revelar: origen étnico o racial; opiniones políticas; convicciones religiosas o filosóficas o afiliaciones sindicales; datos genéticos; datos biométricos destinados a identificar de manera unívoca una persona física; datos relativos a la salud; datos relativos a la salud sexual o a la orientación sexual de una persona física.

• Se lleven a cabo tratamientos de datos personales de ámbito nacional o supranacional en una cantidad considerable, que puedan afectar a un gran nombre de interesados i que puedan comportar un alto riesgo para los derechos y libertades de las personas interesadas, en particular cuando dificulten el ejercicio de sus derechos.

Se solicita a las entidades que lleven a cabo un análisis de los tratamientos realizados, así como un análisis interno para poder acreditar que no se encuentran incluidos en ninguno de estas casuísticas. En síntesis, aquellas empresas privadas que no se encuentren inmersas en alguno de estos tres apartados, no tendrán la obligación de designar un Delegado de Protección de Datos.

Para ahondar en la materia, cabe destacar que la “Guía práctica para saber si mi entidad debe designar un Delegado de Protección de Datos” emitida por la Agencia Andorrana de Protección de Datos, nos ofrece un listado orientativo de entidades públicas, así como organizaciones que están obligadas a designar la nueva figura del DPD, atendiendo a su actividad principal.

La falta de designación de la figura de DPD por parte de la entidad, cuando esto sea obligatorio el nombramiento, supondrá de acuerdo con el articulo 37 de la Ley 29/2021, como una falta grave.

Estatus del Delegado de Protección de Datos

Atendiendo a uno de los privilegios que ofrece el estatuto de los Delegados es el de estar beneficiado para actuar con independencia, además de protegerlo suficientemente en el ejercicio de sus funciones.

Otra de los beneficios que ofrece el estatuto del DPD, supone el no ser el responsable a nivel personal del incumplimiento de la normativa, dado que el Responsable o en todo caso el Encargado del tratamiento serán quienes deban garantizar y demostrar el cumplimiento de la normativa. Así, la normativa prevé que el DPD no pueda ser relevado de sus funciones, ni sancionado por el Responsable o el Encargado del tratamiento en el ejercicio de sus funciones.

En tanto en cuanto a los deberes de comunicación del DPD, será el de reportar directamente a los más altos niveles de dirección de la organización, atendiendo a la lógica que son las personas encargadas de tomar las decisiones sobre le tratamiento y por tanto deberán conocer las opiniones y recomendaciones que el profesional ofrezca.

Finalmente, el DPD estará sujeto al deber de secreto profesional y a la obligación de confidencialidad en relación con el ejercicio de sus funciones. No obstante, esta obligación no prohíbe que el Delegado de Protección de Datos se ponga en contacto con la Agencia Andorrana de Protección de Datos para solicitar opinión.

Designación del Delegado de Protección de Datos

Para la designación del DPD, la entidad será la encargada de demostrar que el sujeto que se pretende nombrar como Delegado de Protección de Datos, cumple con los requisitos establecidos. Esta comprobación, se relaciona con el principio de responsabilidad proactiva, recayendo sobre la entidad, la obligación de reunir toda la documentación interna para justificar que el nombramiento designado cumple con los requisitos de la normativa.

Una de las recomendaciones realizadas desde nuestro despacho, es la de disponer de la documentación una vez nombrado el DPD, dado que en el caso que la entidad sea objeto de una inspección por las autoridades laborales, la entidad encontraría una sanción por indisposición de la misma.

La designación de la figura del Delegado de Protección de Datos, deberá llevarse a cabo por el sujeto obligado ante la APDA en el plazo de diez días hábiles siguientes a la fecha de su nombramiento.

En tanto en cuanto el responsable o encargado del tratamiento sean órganos que constituyan en la Administración Pública, incluidos los organismos autónomos o entidades parapúblicas, dispondrán de un plazo de seis meses desde la fecha de publicación de la Ley 29/2021, para designar al DPD.

En estos momentos, l’APDA ofrece a los sujetos obligados un formulario en su página web para que sea completado y se pueda proceder a la inscripción, que contendrá:

• Los datos del solicitante que realice el trámite.
• Los datos del responsable o del encargado del tratamiento.
• Los datos del Delegado de Protección de Datos que se nombrará.