DPO - Data Protection Officer, la figura profesional creada por el reglamento de privacidad de la UE.
Para garantizar una mayor protección de la información personal, la Unión Europea ha desarrollado una serie de medidas, que se traducen en la Gdprel Reglamento general de protección de datos de la Unión Europea. Con esta legislación, que entrará en vigor el 25 de mayo de 2018, todas las empresas que operen dentro de las fronteras de la UE tendrán que cumplir las directivas impuestas. Entre ellas está la de adoptar la RPD, Responsable de protección de datos. Es un consultor técnico especializado en protección de la intimidadcon actividades relacionadas con la gestión y el almacenamiento de datos.
Antes de entrar en detalles, conviene mencionar que su entrada en vigor ha suscitado no pocos malestares en el panorama europeo. Se trata de un debate controvertido, en el que todavía no se han unificado las opiniones contrarias. Esto se debe principalmente a la excesiva libertad en la interpretación de la Reglamento n.º 2016/679. Dudas relacionadas en gran medida con las competencias reales del RPD.
Orden de protección de datos (RPD)
La Orden de Protección de Datos es una figura especializada con tareas específicas en el ámbito de la informática, el derecho, el control exhaustivo de procesos y la evaluación de riesgos.
Uno de los dictados fundamentales es gestionar, clasificar y, sobre todo, garantizar el tratamiento de los datos personales, respetando los dictados promulgados por la UE para respetar la privacidad. Esta actividad puede ser realizada tanto por un autónomo como por un empleado del titular, o responsable, del tratamiento.
El reglamento entrará en vigor el 25 de mayo de 2018, en todos los estados miembros de la UE, y el DPO se convertirá en un elemento indispensable para su cumplimiento. Sin embargo, no todo el mundo tiene claro el papel de esta figura profesional. Los aspectos que la mayoría conoce son fruto de una explicación de los garantes nacionales (WP29).
El artículo 37 del RGPD no enumera minuciosamente qué características profesionales debe poseer un RPD. Al mismo tiempo, sin embargo, el profesional que aspire a ser reconocido con esta cualificación no solo debe garantizar un conocimiento profundo de la normativa aplicada en brevepero sobre todo demostrar su experiencia en la protección de la información privada en el marco legislativo de la UE. Además, un buen grado de familiaridad con las normas administrativas cuando se trabaja en una organización nacional.
Otro elemento de debate relativo a la dificultad de aplicar esta legislación es el desequilibrio real entre el empleado, que debe asumir los compromisos derivados de la legislación, y el artículo 38 de la misma, que trata de la libertad de autonomía del RPD, no "bajo tutela".
Otro aspecto a tener en cuenta es que el RPD no debe estar sujeto en ningún caso a conflicto de intereses. En este caso, los órganos legislativos europeos buscan a la hora de realizar los nombramientos la congenialidad o concurrencia de actividades prácticas. Por lo tanto, figuras como el director general, el director de operaciones, el director de marketing, el director de recursos humanos, el supervisor de TIC, no pueden ser nombrados RPD.
RPD, qué tareas
En el artículo 39 de la legislación europea se enumeran las tareas que corresponden al Reglamento del Protector de Datos. Para explicar con detalle cuáles son sus competencias, he aquí una lista informativa:
- Gestión del tratamiento de datos personales utilizados por empresas, tanto privadas como públicas;
- Salvaguardar la normativa promovida por la UE;
- Notificar al responsable y al encargado del tratamiento las obligaciones legales derivadas del RGPD, u otras directivas de la UE, en materia de datos personales;
- Verificar el cumplimiento del Reglamento por parte del responsable o el encargado del tratamiento, sensibilizar y formar al personal implicado en las operaciones de tratamiento de datos y en las actividades de control conexas.;
- Emitir dictámenes sobre la evaluación de impacto relativa a la protección de datos;
- Cooperar con la autoridad supervisora, haciendo sugerencias sobre cualquier otra cuestión.
De estos puntos se desprende que el RPD perfila una figura muy especializada, que combina características de gestión y de organización. De hecho, debe ser un asesor capaz del propietario, o gestor, de los datos.
DPO, el profesional para su empresa
La falta de decisión del RGPD sobre el tema de los RPD hace que la idea de su aplicación por empresas situadas dentro de las fronteras de la UE sea muy personal. La falta de dictados irrefutables presupone de hecho unainterpretación subjetiva, a criterio propio.
Según laArtículo 37 del Reglamento europeo, es obligatorio nombrar a un RPD si el tratamiento de datos "sea realizado por una autoridad u organismo público, con excepción de las autoridades judiciales en el ejercicio de sus funciones". Esta es sin duda la parte sin reservas.
Cabe señalar que los organismos públicos no son más que entidades creadas para atender necesidades de interés general, principalmente de carácter no comercial. Son instituciones caracterizadas por una peculiaridad jurídica, cuyas actividades se financian con fondos públicos.
También El artículo 37 establece el carácter imperativo del nombramiento del RPD también para determinadas empresas privadas. De ahí que en el núcleo de la aplicación del Reglamento surjan las primeras divergencias.
La cuestión es que existe la obligación de investir al RPD si la actividad principal del responsable del tratamiento, o del titular de los datos, ″.consiste en tratamientos que requieren un seguimiento sistemático a gran escala″no sólo cuando las actividades principales del responsable del tratamiento, o del encargado del tratamiento, ″.se refieren al tratamiento a gran escala de información sensible o de datos relativos a condenas e infracciones penales″.
En este punto surge una duda nada desdeñable, relativa al significado de las actividades básicas. Para ilustrar mejor la cuestión, se puede tomar como ejemplo una empresa hospitalaria. Su actividad principal es administrar cuidados a los ciudadanos. Sin embargo, sin analizar la información personal de los pacientes, incluso la más sensible, no es posible cumplir esta tarea.
Otro aspecto que se examina dentro del debate general es el significado de la aplicación a gran escala. El Grupo de Supervisores de la UE (WP 29) dio una respuesta autorizada, pero sin un resultado claro y conciso. Se informa de que "no es posible proporcionar un número exacto de datos tratados o de interesados necesarios para definir la categoría a gran escala"
Los únicos datos oficiales son los elementos presentes en el Reglamento GDPR, que determina si un tratamiento es a gran escala:
- Número de personas afectadas y cantidad de datos;
- La duración de la actividad de tratamiento;
- Cuenca geográfica de la actividad de transformación de datos.
¿Quién debe ponerse en contacto con el RPD?
Los principales destinatarios del Reglamento de Protección de Datos Personales, y por tanto "obligados" a designar una DOP, son todos aquellos actividades que operan en la red. En particular, los que gestionan y analizan los datos de los usuarios. No sólo todos los organismos estatales, sino también los privados, como el entidades bancarias y empresas de telecomunicaciones.
La lista podría ser interminable, ya que las actividades que dependen del tratamiento de datos personales no pueden cuantificarse: bufetes de abogados, compañías de seguros, sitios de comercio electrónicoetc. Información sensible, a menudo extremadamente sensible, que debe utilizarse necesariamente para fines muy específicos.
Cabe esperar en breve una aclaración por parte de los organismos competentes, incluida la Autoridad Italiana de Protección de Datos. Una aclaración debida, para disipar todas las dudas que han surgido desproporcionadamente con el reglamento GDPR sobre datos personales. Sobre todo, para proteger a las empresas que sufrirán las primeras sanciones, que casi con toda seguridad se producirán en breve.
Si necesita asesoramiento, póngase en contacto con Abogado Gabriele Carmelo Gallo con quien coopero para hacer su pregunta.