El "DPO" como garante de cumplimiento

1.- El Reglamento Europeo de Protección de Datos

A partir del próximo 25 de mayo de 2018 será de aplicación directa e inmediata en España el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Reglamento Europeo de Protección de Datos). Esta nueva norma supone una importante revisión de nuestra legislación sobre Protección de Datos al introducir cambios muy significativos respecto de las obligaciones que se habrán de asumir tanto el sector público como en la empresa privada.

2.- Principales novedades legislativas introducidas por el Reglamento Europea

Una de las novedades determinantes que incorpora el Reglamento Europeo es la configuración del consentimiento del interesado para el tratamiento de sus datos como una «manifestación de voluntad libre, específica, informada e inequívoca» (art. 4.11). Así, a partir del 25 de mayo de 2018, el interesado deberá prestar consentimiento expreso para el tratamiento de sus datos, no siendo válido un consentimiento tácito, a diferencia de lo que venía ocurriendo hasta ahora. Además, la edad a la que podrán consentir los menores para el tratamiento de sus datos personales (por ejemplo, en redes sociales) se fija en dieciséis años, si bien los Estados Miembros de la UE podrán rebajar esta edad hasta los trece años. Así, por debajo de la edad fijada, se requerirá el consentimiento de los padres o tutores.

Todo ello impone la obligación de redactar los términos de las políticas de privacidad empresariales en un lenguaje sencillo y claro que puedan comprender tanto adultos como menores, y que permita a todos ellos conocer las posibles reclamaciones que se pueden plantear ante las Autoridades de Protección de Datos.

En relación con los derechos del interesado para el tratamiento de sus datos personales, se introducen igualmente importantes novedades:

  1. Los derechos de acceso, rectificación y oposición se mantienen y facultan al interesado, respectivamente, para obtener información sobre sus datos de carácter personal sometidos a tratamiento, modificar aquellos datos que sean inexactos o incompletos y solicitar que finalice en cualquier momento el tratamiento de los datos por motivos relacionados con su situación particular, siempre que no prevalezcan motivos legítimos imperiosos.
  2. El derecho de cancelación pasa a denominarse «derecho de supresión» e implica la facultad de que se produzca el borrado de datos inexactos o incompletos. Por su parte, aparece el «derecho al olvido» como una prolongación del derecho de supresión que posibilita obtener el borrado de los datos personales en los buscadores de Internet.
  3. Se incorpora el denominado «derecho a la portabilidad de los datos», que implica la facultad del interesado, cuando haya finalizado la relación jurídica o servicio que le vinculaba con el responsable del tratamiento de una determinada organización, de recibir los datos personales que le conciernan en un formato estructurado y de uso habitual (como puede ser a través del Cloud Computing -computación en la nube-), y de transmitirlos a otro responsable del tratamiento.
  4. Se incorpora, igualmente, el denominado «derecho a la limitación del tratamiento», que tiene sentido en la medida en que se impugne la exactitud de los datos personales o cuando no sea necesaria la utilización de determinados datos del interesado para los fines del tratamiento, entre otras causas.

Así, resulta esencial contar con un asesoramiento efectivo en materia de Protección de Datos, que permita a todo interesado hacer valer estos derechos ante un inadecuado tratamiento de sus datos personales.

3.- El Delegado de Protección de Datos

Dicho todo lo cual, sin duda alguna, la novedad más significativa que introduce el Reglamento Europeo de Protección de Datos (arts. 37-39) es la figura del Delegado de Protección de Datos o Data Protection Officer (‘DPO’), por su denominación en inglés.

Este sujeto podrá formar parte de la plantilla de la empresa, o bien ser contratado por medio de la externalización del servicio, y desarrollará labores de asesoramiento y supervisión del cumplimiento de la normativa de Protección de Datos; además, habrá de servir de punto de contacto con las Autoridades de Protección de Datos. Si bien no se exige una titulación específica al DPO, «será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos». Por ello, la formación y la especialización en la materia son requisitos esenciales para el cargo.

Los servicios del DPO serán obligatorios en las siguientes organizaciones:

  1. En el seno de toda autoridad u organismo público (excepto los tribunales, en el ejercicio de su función judicial).
  2. En empresas en las que se trabaje con una cantidad de datos tan elevada que exista un alto riesgo para los derechos y libertades de los interesados.
  3. En empresas en las que se trabaje con elevadas cantidades de datos de categoría especial (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, datos relativos a la salud, etc.) o datos personales relacionados con condenas y delitos.

4.- Consecuencias del incumplimiento de la nueva normativa de Protección de Datos

Por lo demás, otro de los cambios más trascendentales de la nueva normativa de Protección de Datos es el relativo al sistema de sanciones. Y es que, con el nuevo Reglamento Europeo, las multas aplicables por incumplimiento de la normativa de Protección de Datos serán muy superiores a las que hasta ahora se han venido imponiendo y que como máximo han alcanzado los 600.000 euros. Así, a partir del 25 de mayo de 2018, dependiendo de las circunstancias de la infracción que se prevén en el art. 83.2 del Reglamento Europeo, se podrán imponer multas administrativas de:

  1. 10.000.000 euros como máximo; o bien, de una cuantía máxima equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior. Se optará por el importe superior de entre cada una de las posibilidades (art. 83.4).
  2. 20.000.000 euros como máximo; o bien, de una cuantía máxima equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior. Se optará por el importe superior de entre cada una de las posibilidades (art. 83.5).

Por tanto, para evitar estas elevadísimas sanciones, el sector empresarial deberá contar con un asesoramiento óptimo que le posibilite dar cumplimiento exhaustivo a cada una de las obligaciones que le impone la nueva normativa.

5.- Conclusiones

En definitiva, con la nueva normativa de Protección de Datos, los ciudadanos han de ser conscientes del conjunto de derechos que les asisten, y de la necesidad de hacer uso de los mismos cuando el tratamiento de sus datos personales pueda verse afectado. Y, como contrapartida de ello, las empresas y demás organizaciones deben concienciarse de que habrán de asumir un mayor número de obligaciones en esta materia.

Por esta razón, el Delegado de Protección de Datos juega un papel esencial para garantizar el cumplimiento de esta normativa. Además, teniendo en cuenta la ambigüedad de la norma en la determinación de los sectores empresariales obligados a contar con la asistencia de este profesional en su seno, resulta más que recomendable proceder a la designación del mismo en el mayor número de organizaciones posible, teniendo en cuenta que, cada vez en mayor medida, se va a producir en toda empresa un tratamiento masivo de datos de carácter personal, por lo que resulta más que previsible que, en un futuro no muy lejano, todas las organizaciones tendrán la obligación de contar con los servicios de un DPO.

Por todo ello, desde LEALTADIS ABOGADOS ofrecemos nuestros servicios profesionales en materia de Protección de Datos, con la finalidad tanto de asistir a los ciudadanos en el tratamiento de sus datos personales y en el ejercicio de sus derechos, como de desarrollar en las diferentes empresas y organizaciones las funciones de asesoramiento y supervisión propias del DPO al objeto de evitar, especialmente, las cuantiosas multas de las Autoridades de Protección de Datos a las que se ven expuestas.

Germán Serrano Rodríguez.
Departamento de L.O.P.D.
Lealtadis Abogados.