Requisits i funcions del delegat de protecció de dades

Nova llei de protecció de dades a Andorra

Amb l’entrada en vigor el passat 17 de Maig de 2022, de la nova Llei 29/2021, de 28 d’octubre, Qualificada de Protecció de Dades Personals a Andorra (Llei 29/2021 en endavant), va emergir la necessitat del compliment normatiu per part de les entitats públiques i privades que són ubicades al territori andorrà, constituïdes sota les lleis del Principat,  o en el cas de no complir-se cap d’aquests paràmetres, aquelles entitats que no s’ubiquen al territori andorrà però que si utilitzen mitjans de tractament ubicats al territori ja siguin automatitzats o no.

Aquesta novetat en relació al compliment normatiu, va suposar l’aparició de noves obligacions que no s’havien de dur a terme la entrada en vigor de la mateixa, tals com:

• Deure de realitzar un Registre d’ Activitats.
• Actualització de les Clàusules informatives.
• Principi de Responsabilitat proactiva de les entitats.
• L’ ampliació del catàleg de drets per als interessats.
• Incorporació de la figura del Delegat de Protecció de Dades.
• L’elaboració d’ una Avaluació d’ Impacte.
• Codis de Conducta per la correcta aplicació normativa.
• Deure de notificació de violacions de seguretat a l’ APDA.

Entrant al detall de l’objecte de la present publicació, ens centrarem en la recent obligació d’incorporar la figura del Delegat de Protecció de Dades, per així conèixer què implica aquesta obligació i quins subjectes l’han d’emprendre.

Què és el Delegat de Protecció de Dades?

La figura del Delegat de Protecció de Dades (DPD en endavant) o Data Protection Officer (DPO), és una nova figura en l’àmbit de la Protecció de Dades de Caràcter Personal al territori andorrà, que no obstant, ja estava regulada a la Secció 4a del Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’Abril de 2016, relatiu a la protecció de dades de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD en endavant), que ve aplicant-se des del 25 de maig de 2018.

La Llei 29/2021 introdueix aquesta nova figura, i estableix la seva regulació a l’article 38, però no obstant, no ens ofereix una definició concreta de la mateixa, és per això que ens basarem en la Guia publicada per l’Agència Andorrana de Protecció de Dades, que estableix el següent:

“És una figura que actua de forma independent i que és nomenada per l’entitat, en relació de les seves qualitats professionals, així com els seus coneixements especialitzats en dret i la pràctica en protecció de dades, adquireix el rol de garant del compliment de la normativa en protecció de dades dins de l’organització.”

Dit això, no trobem una definició concreta de la figura del DPD, però sí que podríem extreure una definició de la regulació establerta. En aquest sentit el DPD és la persona que assumeix la responsabilitat dins l’ entitat de dur a terme el desenvolupament de les funcions de supervisió, monitoratge, independent i confidencial, en relació amb el compliment adequat de la normativa en matèria de protecció de dades personals.

Qui pot ser Delegat de Protecció de Dades?

En relació amb els requisits per ser Delegat de Protecció de Dades, hem d’evidenciar la manca de regulació establerta a la Llei 29/2021, però, l’Agència Andorrana de Protecció de Dades ens ofereix directrius poc detallades en relació amb les qualitats que han d’ostentar aquelles persones que vulguin desenvolupar aquesta figura professional.

La tipologia de subjectes que poden dur a terme el de Delegat de Protecció de Dades, la guia estableix que podran ser-ho les persones físiques externes a l’organització del responsable, persones físiques que formin part de l’organització sempre que es pugui garantir la seva independència, i finalment persones jurídiques externes a l’organització del responsable a través de la formalització d’un contracte de serveis.

En quant a la menció que realitza la normativa, es fa una breu referència que la persona que ocupi aquest rol haurà d’ostentar qualitats professionals, a més de tenir coneixement en dret, però no s’especifica quin tipus de coneixements, no obstant, s’ha de tenir sempre present la sensibilitat, complexitat i quantitat de dades que tracta una organització.

En tant en quant, a la menció establerta en relació a l’experiència en la pràctica relativa a la protecció de dades, cal destacar que no s’estableix una especificació de les qualitats professionals que s’ han de tenir, però cal destacar com un factor important tenir coneixements sobre la legislació i les pràctiques nacionals i europees en matèria de protecció de dades.

Seguint aquesta línia, quan un DPD exerceixi en l’ àmbit d’ una Administració pública, se sobreentén que aquest haurà de tenir coneixements de les normes i procediments administratius.

Cal destacar que si el Delegat de Protecció de Dades no disposa de la categoria d’expert en tots aquests coneixements abans de la presa de possessió del càrrec, caldrà mobilitzar el caràcter d’expert intern i es potenciarà el seu desenvolupament en els coneixements mitjançant formacions a càrrec del responsable o encarregat del tractament.

D’ altra banda, la menció detallada en relació a la capacitat per exercir les seves funcions, hem d’ interpretar les qualitats personals, així com els coneixements dins de l’ organització. Pel que fa a les qualitats personals, podem destacar la integritat, així com el nivell elevat d’ ètica professional.

Finalment, per part de l’ entitat s’ ha de garantir que el subjecte que ha de dur a terme la figura del DPD, tingui la capacitat d’ actuar amb plena independència, i que existeixi una absència de conflicte d’ interessos en el desenvolupament de les seves tasques.

Quines funcions ha d’emprendre el Delegat de Protecció de Dades?

Les funcions que ha de desenvolupar el Delegat de Protecció de Dades, es centren en fomentar la cultura en protecció de dades dins de l’ organització. En aquest cas, les funcions encomanades al DPD regeixen regulades a l’article 38.7 de la Llei 29/2021, i són les següents:

• Informar i assessorar del compliment de les seves obligacions al responsable o l’encarregat del tractament, així com als empleats que s’ocupin del tractament.
• Dur a terme la supervisió de les polítiques del responsable o de l’ encarregat del tractament en matèria de protecció de dades personals, incloent-se a més l’assignació de les seves responsabilitats.
• Conscienciar i formar el personal que participa en les operacions de tractament, així com en les auditories corresponents.
• Assessorar en l’avaluació d’ impacte, així com supervisar-ne l’aplicació.
• Cooperar amb l’autoritat de control (APDA).
• Actuar com a punt de contacte de l’APDA per a les qüestions relatives al tractament, incloent-hi la consulta prèvia que regula l’article 33 de la Llei 29/2021.
• Realitzar les consultes que siguin necessàries, sobre qualsevol altre assumpte amb l’ APDA.

Analitzades totes les funcions que ostenta el Delegat de Protecció de Dades, cal destacar que les funcions més importants són les d’informar, assessorar i supervisar al responsable del tractament respecte de les obligacions que ha imposat la normativa, així com atendre les reclamacions que es puguin presentar en aquesta matèria per part dels interessats, per facilitar el compliment en protecció de dades, i fins i tot perquè aquests es converteixin en un avantatge competitiu per a l’ entitat.

Una altra de les funcions essencials d’aquesta figura és la de suposar com a punt de contacte amb l’Agència Andorrana de Protecció de Dades i donar les explicacions oportunes quan la protecció de dades de caràcter personal pugui veure’s afectades.

La introducció d’aquesta figura té com a finalitat la consolidació d’ una cultura de protecció de dades en el si de les organitzacions, perquè divulgui, informi, ensenyi, assessori i atengui les necessitats i els drets dels interessats, controlant les dades que es protegeixen d’una manera adequada.

Com ha d’afavorir l’entitat el compliment de les funcions del DPD?

El DPD serà l’encarregat de dur a terme el compliment de les seves funcions, però en aquest sentit hem d’atendre a l’article 39 de la Llei 29/2021, en el qual s’estableixen unes directrius destinades a les entitats que disposin d’aquesta figura, perquè aquests professionals puguin dur a terme el desenvolupament de les seves funcions.

Els responsables i encarregats del tractament tenen establert el deure de garantir que participi de manera adequada i en el moment oportú en les qüestions relatives a la protecció de dades personals, a més de tenir l’obligació de donar suport a aquesta figura en el compliment de les seves funcions, mitjançant la facilitació dels recursos necessaris per al desenvolupament de les seves tasques i per a l’accés a les operacions de tractament, així com el manteniment i reciclatge del seu coneixement com a expert de la matèria.

En la mateixa línia, el precepte legal estableix la limitació dels responsables i encarregats del tractament a la imposició d’instruccions en el desenvolupament de les funcions del DPD. En aquest sentit, el responsable o encarregat del tractament, no podrà destituir ni sancionar el DPD per l’exercici de les seves tasques sense dur a terme el compliment de les seves instruccions. Cal destacar que el DPD únicament haurà de rendir comptes amb el nivell jeràrquic més alt del responsable o de l’ encarregat.

La normativa estableix els deures per garantir i facilitar el desenvolupament de les funcions, així com la independència en el seu desenvolupament, a més de potenciar-se la seva formació, pretenent assegurar que el coneixement que aquest ostenta es mantingui actualitzat. Amb això observem la transcendència que ofereix el legislador a l’especial protecció de les Dades de Caràcter Personal en el si d’ una organització i de la seva activitat.

Quines Empreses han de nomenar el Delegat de Protecció de Dades?

Per a conèixer si la nostra entitat té l’obligació d’incorporar la figura del Delegat de Protecció de Dades ens hem de centrar en el que estableix l’article 38 de la Llei 29/2021, així com en la “Guia Pràctica per a conèixer si la meva entitat ha de designar un Delegat de Protecció de Dades” emesa per l’APDA el passat 11 de maig de 2022.

En aquest sentit, l’apartat primer de l’article 38, estableix l’obligació de les Administracions Públiques, dels organismes autònoms, així com de les entitats parapúbliques a designar-lo. Entenem així que totes les institucions hauran de nomenar la figura del DPD, de manera independent amb el tipus de tractament que duguin a terme. No obstant això, el mateix apartat estableix l’ exclusió dels tribunals que actuïn en l’ exercici de la seva funció judicial.

En l’ àmbit de les entitats privades, el mateix precepte legal estableix l’ obligació d’ incorporar-lo quan:

• Es duguin a terme tractaments de dades personals que requereixen d’ una avaluació sistemàtica i exhaustiva d’ aspectes personals basat en un tractament automatitzat.
• Es duguin a terme tractaments de dades personals de categories especials a gran escala.

Entendrem per categories especials, totes aquelles dades personals que amb el seu tractament puguin revelar: origen ètnic o racial; opinions polítiques; conviccions religioses o filosòfiques o afiliacions sindicals; dades genètiques; dades biomètriques destinades a identificar de manera unívoca una persona física; dades relatives a la salut; dades relatives a la salut sexual o a l’ orientació sexual d’ una persona física.

• Es duguin a terme tractaments de dades personals d’ àmbit nacional o supranacional en una quantitat considerable, que puguin afectar un gran nombre d’ interessats i que puguin comportar un alt risc per als drets i llibertats de les persones, en particular quan dificultin l’ exercici dels seus drets.

Es demana a les entitats que duguin a terme una anàlisi dels tractaments realitzats, així com un anàlisi intern per poder acreditar que no es troben subsumits en cap d’ aquestes casuístiques. En síntesi, aquelles empreses privades que no es trobin immerses en algun d’aquests tres apartats, no tindran l’ obligació de designar un Delegat de Protecció de Dades.

Per aprofundir en la matèria, cal destacar que la “Guia pràctica per saber si la meva entitat ha de designar un Delegat de Protecció de Dades” emesa per l’Agència Andorrana de Protecció de Dades, ens ofereix un llistat orientatiu d’entitats públiques, així com organitzacions que estan obligades a designar la nova figura del DPD, atenent la seva activitat principal.

La manca de designació de la figura de DPD per part de l’entitat, quan això sigui obligatori el nomenament, suposarà d’acord amb l’article 37 de la Llei 29/2021, com una falta greu.

Estatus del Delegat de Protecció de Dades

En relació a l’estatut dels Delegats de Protecció de Dades, cal destacar que el legislador li ofereix una sèrie de privilegis per garantir la seva actuació, un d’ells és el d’estar beneficiat per actuar amb independència, a més de protegir-lo suficientment en l’exercici de les seves funcions.

Un altra dels beneficis que ofereix l’estatut del DPD, suposa no tenir responsabilitat a nivell personal en l’incompliment de la normativa, atès que el Responsable o en tot cas l’ Encarregat del tractament seran les persones les quals hagin de garantir i demostrar el compliment de la normativa. Així, la normativa preveu que el DPD no pugui ser rellevat de les seves funcions, ni sancionat pel Responsable o l’ Encarregat del tractament en l’exercici de les seves funcions.

Els deures de comunicació del DPD, serà el de reportar directament als més alts nivells de direcció de l’organització, atenent la lògica de les persones encarregades de prendre les decisions sobre el tractament i per tant hauran de conèixer les opinions i recomanacions que aquest professional ofereixi.

Finalment, el DPD estarà subjecte al deure de secret professional i a l’obligació de confidencialitat en relació amb l’exercici de les seves funcions. No obstant això, aquesta obligació no prohibeix que el Delegat de Protecció de Dades es posi en contacte amb l’Agència Andorrana de Protecció de Dades per demanar opinió.

Designació del Delegat de Protecció de Dades

Per a la designació del DPD, l’entitat serà l’encarregada de demostrar que el subjecte que es pretén nomenar com a Delegat de Protecció de Dades, compleix amb els requisits establerts.

Aquesta comprovació, es relaciona amb el principi de responsabilitat proactiva, recaient sobre l’entitat, l’obligació de reunir tota la documentació interna per justificar que el nomenament designat compleix amb els requisits de la normativa.

Una de les recomanacions realitzades des del nostre despatx, és la de disposar de la documentació un cop nomenat el DPD, atès que en el cas que l’entitat sigui objecte d’una inspecció per les autoritats laborals, l’entitat trobaria una sanció per indisposició de la mateixa.

La designació de la figura del Delegat de Protecció de Dades, haurà de dur-se a terme pel subjecte obligat davant l’APDA en el termini de deu dies hàbils següents a la data del seu nomenament.

Mentre el responsable o encarregat del tractament siguin òrgans que constitueixin en l’Administració Pública, inclosos els organismes autònoms o entitats parapúbliques, disposaran d’un termini de sis mesos des de la data de publicació de la Llei 29/2021, per designar el DPD.

En aquests moments, l’APDA ofereix als subjectes obligats un formulari a la seva pàgina web perquè sigui completat i es pugui procedir a la inscripció, que contindrà:

• Les dades del sol·licitant que realitzi el tràmit.
• Les dades del responsable o de l’ encarregat del tractament.
• Les dades del Delegat de Protecció de Dades que es nomenarà.