La UE evaluará a los delegados de protección de datos de 30.000 empresas

La privacidad de los datos personales es uno de los principales focos de cumplimiento legal de las empresas, ya sean del sector público o privado. Muchas de ellas están obligadas a contar con un delegado de protección de datos (DPD o DPO, si se toman las siglas de data protection officer). Ahora, la Unión Europea evaluará la designación y situación de los delegados de protección de datos, que en España son más de 100.000 profesionales inscritos. Y se centrará en 30.000 empresas.

Esta acción preventiva se realiza a nivel europeo y de forma coordinada. Está destinada a las 27 autoridades de protección de datos de la Unión Europea, además de las de Islandia, Liechtenstein y Noruega y busca evaluar si la designación y la situación de los DPD en sus organizaciones se ajusta a lo requerido en el Reglamento General de Protección de Datos (RGPD).

La iniciativa está dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) previstas en 2023, tal como informa la Agencia Española de Protección de Datos (AEPD), que será la encargada de desarrollar esta evaluación a los DPD en España.

La figura del delegado de protección de datos es fundamental para la intermediación entre las autoridades de supervisión, los ciudadanos y las empresas. Entre sus funciones están la de informar y asesorar al responsable o al encargado del tratamiento de las obligaciones en materia de privacidad y supervisar su cumplimiento. Estas funciones las debe ejercer de manera independiente y debe ser el punto de contacto con la AEPD.

Evaluación en más de 30.000 empresas

Las autoridades participantes remitirán un cuestionario que incluye cuestiones relacionadas, entre otras, con la designación, conocimiento y experiencia de los DPD, sus tareas y recursos o su papel y posición en sus respectivas organizaciones.

La AEPD será la encargada de analizar las prácticas de más de 30.000 entidades del sector público y privado sobre delegados de protección de datos mediante el cuestionario. En empresas privadas, la evaluación se centrará en distintos sectores de actividad: educación, entidades bancarias y financieras, sanidad, sector energético, seguridad, servicios de telecomunicaciones, solvencia patrimonial y crédito, y actividades relacionadas con los juegos de azar y apuestas.

Los resultados serán agregados y se analizarán de manera coordinada. Las autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países y podrán hacer un seguimiento específico en el ámbito del Espacio Económico Europeo. La evaluación terminará con la publicación de un informe por parte del Comité.

Más de 100.000 delegados de protección de datos

Actualmente hay más de 100.000 delegados de protección de datos inscritos en el registro de la agencia. De ellos, 91.221 corresponden al sector privado y 9.129 al sector público, tanto en la Administración General del Estado como en comunidades autónomas, entidades locales y otras personas jurídicas de carácter público

La inscripción de los DPD es obligatoria para organismos públicos, pero también para empresas que hagan tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos y para las empresas que estén obligadas por ley a contar con un DPD o que lo tengan de forma voluntaria.

Los datos personales considerados «sensibles», que están sujetos a condiciones de tratamiento específicas, son los relacionados con el el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos o datos biométricos tratados únicamente para identificar un ser humano, los relativos a la salud, la vida sexual u orientación sexual de una persona, etc.

El registro de DPD es público, abierto y gratuito, de modo que cualquier persona pueda contactar con ellos para obtener información sobre el tratamiento de sus datos personales, ejercer sus derechos o presentar una reclamación. La información se actualiza diariamente. Las empresas deben comunicar los nombramientos y ceses de los delegados de protección de datos en diez días como máximo.

Las razones de la evaluación

Varios especialistas de este sector considera que iniciativas como esta forman parte de las tareas del supervisor. Se trata de actuaciones que son parte de las funciones habituales de la AEPD y que ya se han realizado en ocasiones anteriores, sobre todo centradas en sectores en los que es habitual procesar datos de características especiales, como es el sector sanitario.

«No significa que se parta de la detección de algún tipo de incumplimiento», aclara Efrén Díaz, abogado del Bufete Mas y Calvet y delegado de protección de datos. Sin embargo, cree que esta es una buena oportunidad para aclarar el papel de los DPO tanto en el sector público como privado.

Para otras fuentes especializadas en asesoramiento sobre privacidad en España, este tipo de actuaciones ponen de manifiesto la importancia que se da a la figura del DPD . Sin embargo, expresan que existe la sensación de que algunos delegados de protección de datos no cuentan con la cualificación adecuada para desempeñar estas funciones o dificultades en los procedimientos, porque en algunas empresas no se les informa de manera oportuna cuando se firma un contrato que incluye el tratamiento de datos personales.

no se cumple con informar al DPO o bien no cuentan con los recursos necesarios ni con el acceso a información.

Otras fuentes ponen el acento en los requisitos de formación para acceder a la certificación como delegado de protección de datos. Y destacan que si un DPD no cuenta con la formación necesaria, es probable que se limite a seguir las instrucciones de la asesoría jurídica de la empresa, por lo que se pondría en cuestión su independencia.

Empresas obligadas a tener un delegado de protección de datos

El Reglamento de Protección de Datos señala una serie de organizaciones que están obligadas a contar con un delegado de protección de datos:

• Colegios profesionales y sus consejos generales.
• Centros docentes y universidades públicas y privadas.
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas que traten datos personales a gran escala.
• Prestadores de servicios de la sociedad de la información que elaboren perfiles de los usuarios del servicio a gran escala.
• Bancos, cajas de ahorro, cooperativas de crédito, aseguradoras y empresas de inversión.
• Distribuidores y comercializadores de energía eléctrica y de gas natural.
• Los ficheros de solvencia patrimonial y crédito, de gestión y prevención del fraude, del blanqueo de capitales y de la financiación del terrorismo.
• Empresas de publicidad y prospección comercial, investigación de mercados que hagan perfiles con las preferencias de los usuarios.
• Centros sanitarios que mantengan historias clínicas de los pacientes. Se exceptúan los médicos que ejerzan su actividad a título individual.
• Las entidades emitan informes comerciales sobre personas físicas.
• Empresas de juego online o electrónico.
• Empresas de seguridad privada.
• Federaciones deportivas que traten datos de menores de edad.