Què és un Delegat de Protecció de Dades (DPD)?
Aquesta figura constitueix un dels elements claus del RGPD i un garant del compliment de la normativa de protecció de dades en les organitzacions, si bé la responsabilitat sobre aquest compliment recau en el responsable o encarregat.
El Delegat de Protecció de Dades (DPD), ha de nomenar-se atenent les seves qualitats professionals i en particular ha de comptar amb coneixements especialitzats del Dret i pràctica en protecció de dades, no se li exigeix cap mena de titulació i tampoc ha d’estar certificat.
Actua de manera independent i entre les funcions que se li atribueixen estan les d’informar i assessorar el responsable o encarregat del tractament a més de supervisar que compleixen amb el RGPD. No obstant això, el detall de totes les seves funcions està inclòs article 39 del RGPD. A més convé precisar que el *DPD pot ser personal intern o extern, persona física o persona jurídica.
Quan s’ha de nomenar un delegat de protecció de dades?
El RGPD, en el seu article 37.1, recull els supòsits en què és obligatori la designació d’un Delegat de Protecció de Dades, i que són els següents:
El tractament el dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
Les activitats principals del responsable o de l’encarregat consisteixin en operacions de tractament que, en raó de la seva naturalesa, abast i/o fins, requereixin una observació habitual i sistemàtica d’interessats a gran escala.
Les activitats principals del responsable o de l’encarregat consisteixin en el tractament a gran escala de categories especials de dades personals conformement a l’article 9 i de dades relatives a condemnes i infraccions penals a què es refereix l’article 10.
Per part seva, la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, assenyala, en el seu article 34, que els responsables i encarregats del tractament hauran de designar, en tot cas, un delegat de protecció de dades quan es tracti de les següents entitats:
- Els col·legis professionals i els seus consells generals.
- Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així com les Universitats públiques i privades.
- Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques conforme al que es disposa en la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.
- Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfilsdels usuaris del servei.
- Les entitats incloses en l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.
- Els establiments financers de crèdit.
- Les entitats asseguradores i reasseguradores.
- Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.
- Els distribuïdors i comercialitzadors d’energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
- Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent-hi els responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
- Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent-hi les de recerca comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils d’aquests.
- Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.
- S’exceptuen els professionals de la salut que, fins i tot estant legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
- Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials que puguin referir-se a persones físiques.
- Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme a la normativa de regulació del joc.
- Les empreses de seguretat privada.
- Les federacions esportives quan tractin dades de menors d’edat.
- Els responsables o encarregats del tractament no inclosos en la relació anterior podran designar de manera voluntària un delegat de protecció de dades.
Els responsables i encarregats del tractament comunicaran en el termini de deu dies a l’Agència Espanyola de Protecció de Dades o, si és el cas, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es trobin obligades a la seva designació com en el cas en què sigui voluntària.
Què signifiquen els criteris «activitat principal», «observació sistemàtica» i «tractament a gran escala»?
Aquests criteris, que hem esmentat en l’anterior pregunta-resposta, han de ser tinguts en compte a l’hora de nomenar un delegat de protecció de dades (*DPD), i s’interpreten de la manera següent:
Activitats principals
Les «activitats principals» poden considerar-se com les operacions clau necessàries per a aconseguir els objectius del responsable o de l’encarregat del tractament. No obstant això, aquestes no han d’interpretar-se com a excloents quan el tractament de dades sigui una part indissociable de l’activitat del responsable o encarregat del tractament. Per exemple, el Grup de Treball de l’article 29 dictamina que l’activitat principal d’un hospital és parar esment sanitària. No obstant això, un hospital no podria parar esment sanitària de manera segura i eficaç sense tractar dades relatives a la salut, com les històries clíniques dels pacients. Per tant, el tractament d’aquestes dades ha de considerar-se una de les activitats principals de qualsevol hospital i els hospitals deuen, en conseqüència, designar un *DPD.
Un altre exemple seria el d’una empresa de seguretat privada que duu a terme la vigilància d’una sèrie de centres comercials privats i d’espais públics. La vigilància és l’activitat principal de l’empresa, que al seu torn està lligada de manera indissociable al tractament de dades personals. Per tant, aquesta empresa deu també designar un *DPD.
D’altra banda, totes les organitzacions duen a terme determinades activitats, per exemple, pagar als seus empleats o realitzar activitats ordinàries de suport. Aquestes activitats són exemple de funcions de suport necessàries per a l’activitat principal o el negoci principal de l’organització. Encara que aquestes activitats són necessàries o essencials, normalment es consideren funcions auxiliars i no l’activitat principal.
Observació habitual i sistemàtica
La noció d’observació habitual i sistemàtica d’interessats no està definida en el RGPD, però el concepte de «observació del comportament dels interessats» s’esmenta en el considerant 24 i inclou clarament tota forma de seguiment i creació de perfils en internet, també amb finalitats de publicitat comportamental.
No obstant això, el concepte d’observació no es limita a l’entorn en línia i el seguiment en línia ha de considerar-se només un exemple d’observació del comportament dels interessats. El Grup de Treball de l’article 29 interpreta «habitual» amb un o més dels següents significats:
- continuat o que es produeix a intervals concrets durant un període concret;
- recurrent o repetit en moments prefixats;
- que té lloc de manera constant o periòdica. Respecte a la interpretació «sistemàtic»:
- que es produeix d’acord amb un sistema;
- preestablert, organitzat o metòdic;
- que té lloc com a part d’un pla general de recollida de dades;
- dut a terme com a part d’una estratègia.
Exemples d’activitats que poden constituir una observació habitual i sistemàtica d’interessats són: operar una xarxa de telecomunicacions; prestar serveis de telecomunicacions; redirigir correus electrònics; activitats de màrqueting basades en dades; elaborar de perfils i atorgar puntuació amb finalitats d’avaluació de riscos (p. ex. per a determinar la qualificació creditícia, establir primes d’assegurances, prevenir el frau, detectar blanqueig de diners); dur a terme un seguiment de la ubicació, per exemple, mitjançant aplicacions mòbils; programes de fidelitat; publicitat comportamental; seguiment de les dades de benestar, estat físic i salut mitjançant dispositius *ponibles; televisió de circuit tancat; dispositius connectats, com a comptadors intel·ligents, cotxes intel·ligents, domòtica, etc.
Gran escala
El RGPD tampoc defineix què s’entén per tractament a gran escala, encara que el considerant 91 ofereix alguna orientació. De fet, no és possible donar una xifra exacta, ja sigui en relació amb la quantitat de dades processades o al nombre de persones afectades, que pogués aplicar-se en totes les situacions. No obstant això, això no exclou la possibilitat que, amb el temps (segons el Grup de Treball de l’article 29), es desenvolupi un mètode estàndard per a identificar en termes més específics o quantitatius aquest concepte. En qualsevol cas, el citat Grup de Treball recomana que es tinguin en compte els següents factors, en particular, a l’hora de determinar si el tractament es realitza a gran escala:
- el nombre d’interessats afectats, bé com a xifra concreta o com a proporció de la població corresponent;
- el volum de dades o la varietat d’elements de dades que són objecte de tractament;
- la durada, o permanència, de l’activitat de tractament de dades;
- l’abast geogràfic de l’activitat de tractament. Com a exemples de tractament a gran escala cal citar:
- el tractament de dades de pacients en el desenvolupament normal de l’activitat d’un hospital;
- el tractament de dades de desplaçament de les persones que utilitzen el sistema de transport públic d’una ciutat (p. ex. seguiment a través de targetes de transport);
- el tractament de dades de geolocalització en temps real de clients d’una cadena internacional de menjar ràpid amb finalitats estadístics per part d’un responsable del tractament especialitzat en la prestació d’aquests serveis;
- el tractament de dades de clients en el desenvolupament normal de l’activitat d’una companyia d’assegurances o d’un banc;
- el tractament de dades personals per a publicitat comportamental per un motor de cerca;
- el tractament de dades (contingut, trànsit, ubicació) per proveïdors de serveis de telefonia o internet.
- Com a casos que no constitueixen tractament a gran escala cal assenyalar:
- el tractament de dades de pacients per part d’un solo mèdic;
- el tractament de dades personals relatives a condemnes i infraccions penals per part d’un advocat.
Pot nomenar-se un delegat de protecció de dades sense ser obligatori?
En aquells supòsits en què no sigui obligatori el nomenament d’un delegat de protecció de dades (*DPD), els responsables i encarregats de tractament, si així ho consideren, poden procedir a nomenar un *DPD. En tot cas, si es nomena un *DPD de manera voluntària, s’aplicaran a la seva designació, el seu lloc i les seves tasques els requisits establerts en els articles 37 a 39, com si el nomenament hagués estat obligatori.
Qui nomena el delegat de protecció de dades?
La pròpia organització.
L’article 37 s’aplica tant als responsables del tractament com als encarregats del tractament respecte a la designació d’un delegat de protecció de dades (*DPD). En funció de qui compleixi els criteris de designació obligatòria, en alguns casos sol el responsable o només l’encarregat han de designar un *DPD, i en altres casos tant el responsable com el seu encarregat han de designar respectius *DPD (que hauran de cooperar entre si).
És important destacar que, encara que el responsable compleixi els criteris de designació obligatòria, el seu encarregat no està necessàriament obligat a nomenar un *DPD. No obstant això, pot ser una pràctica recomanable.
Quines són les funcions del Delegat de Protecció de Dades?
Les funcions del Delegat de Protecció de Dades es troben especificades en l’article 39 del RGPD, sent les següents:
- Informar i assessorar el responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament, de les obligacions del *RPGD i altra normativa aplicable en protecció de dades.
- Supervisar el compliment del RGPD i altra normativa aplicable en protecció de dades, i de les polítiques del responsable o encarregat del tractament en aquesta matèria, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en operacions de tractament, i les auditories corresponents.
- Oferir l’assessorament que se sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació conforme a l’article 35 del RGPD.
- Cooperar amb l’autoritat de control. Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia de l’article 36 del RGPD, i realitzar consultes, si és el cas, sobre qualsevol altre assumpte.
Pot existir un únic delegat de protecció de dades per a diversos responsables?
Sí. L’article 37, apartat 2, del RGPD permet a un grup empresarial designar un únic delegat de protecció de dades (*DPD), sempre que aquest «sigui fàcilment accessible des de cada establiment».
La noció d’accessibilitat es refereix a les tasques del *DPD com a punt de contacte respecte als interessats i a l’autoritat de control, però també internament dins de l’organització, tenint en compte que una d’aquestes tasques és «informar i assessorar el responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions que els incumbeixen en virtut del present Reglament».
Amb la finalitat de garantir que el *DPD, ja sigui intern o extern, sigui accessible, és important assegurar-se que les seves dades de contacte estan disponibles de conformitat amb els requisits del RGPD. El *DPD, amb ajuda d’un equip si fos necessari, ha d’estar en condicions de comunicar-se eficaçment amb els interessats i cooperar amb les corresponents autoritats de control. Això significa també que aquesta comunicació ha de tenir lloc en l’idioma o idiomes utilitzats per les autoritats de control i els interessats afectats.
La disponibilitat d’un *DPD (ja sigui físicament en les mateixes instal·lacions com a empleat, ja sigui en línia o mitjançant altres mitjans segurs de comunicació) és fonamental per a garantir que els interessats puguin contactar amb el *DPD.
Pot existir un únic delegat de protecció de dades en el cas d’autoritats o organismes públics?
Sí. De conformitat amb l’article 37, apartat 3, es podrà designar un únic delegat de protecció de dades (*DPD) per a diverses autoritats o organismes públics, tenint en compte la seva estructura organitzativa i grandària.
Les mateixes consideracions s’apliquen respecte als recursos i les comunicacions. Com que el *DPD s’encarrega d’una varietat de tasques, el responsable o l’encarregat del tractament han de garantir que un únic *DPD, amb l’ajuda d’un equip si fos necessari, pugui fer aquestes tasques eficaçment malgrat haver estat designat per diverses autoritats i organismes públics.
El *DPD, amb ajuda d’un equip si fos necessari, ha d’estar en condicions de comunicar-se eficaçment amb els interessats i cooperar amb les corresponents autoritats de control. Això significa també que aquesta comunicació ha de tenir lloc en l’idioma o idiomes utilitzats per les autoritats de control i els interessats afectats.
La disponibilitat d’un *DPD (ja sigui físicament en les mateixes instal·lacions com a empleat, ja sigui en línia o mitjançant altres mitjans segurs de comunicació) és fonamental per a garantir que els interessats puguin contactar amb el *DPD.
El delegat de protecció de dades pot ser extern a l’organització?
Sí. La funció del delegat de protecció de dades (*DPD) pot exercir-se també en el marc d’un contracte de serveis subscrit amb una persona física o amb una entitat aliena a l’organització del responsable o de l’encarregat del tractament.
En aquest últim cas, és fonamental que cada membre de l’organització que exerceixi les funcions de *DPD compleixi tots els requisits aplicables de la secció 4 del RGPD, sent fonamental que ningú tingui un conflicte d’interessos.
És igualment important que cadascun d’aquests membres estigui protegit per les disposicions del RGPD, com les que impedeixen la rescissió injustificada del contracte de serveis motivada per les activitats del *DPD o la destitució improcedent del membre de l’organització que realitzi les funcions del *DPD.
Al mateix temps, és possible combinar capacitats i punts forts individuals perquè diversos individus que treballin en equip puguin servir als seus clients de forma més eficaç. El Grup de Treball de l’article 29 (actual Comitè Europeu de Protecció de Dades) ha dictaminat que, en nom de la claredat jurídica i a la bona organització i amb la finalitat d’evitar conflictes d’interessos dels membres de l’equip, es recomana assignar clarament les tasques dins de l’equip del *DPD i designar una única persona com a contacte i persona «a càrrec» de cada client. Seria també útil, en general, especificar aquests punts en el contracte de serveis.
Ha de comunicar-se el nomenament de delegats de protecció de dades a l’AEPD?
Els responsables i encarregats del tractament comunicaran en el termini de deu dies a l’Agència Espanyola de Protecció de Dades o, si és el cas, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es trobin obligades a la seva designació com en el cas en què sigui voluntària.