Los delegados de protección de datos deberán obtener una certificación

Written on 9 Aug 2017

Con fecha de 10 de julio de 2017, la Agencia Española de Protección de Datos publicó el “Esquema de la Agencia Española de Protección de Datos de Certificación de Delegados de Protección de Datos”, documento que se suma a una lista cada vez más abultada de herramientas interpretativas y prácticas que la autoridad española viene desarrollando desde la publicación del Reglamento General de Protección de Datos a nivel europeo en 2016.

La Agencia Española de Protección de Datos (“AEPD“), con la colaboración de la Entidad Nacional de Acreditación, ha publicado un documento elaborado con el fin de regular el marco en el que se deberá llevar a cabo la certificación de los delegados de protección de datos (“DPD“) al objeto de dotar a la nueva figura –al menos en el panorama legal a nivel nacional- de un sistema de garantías y requisitos mínimos.

El nuevo Reglamento General de Protección de Datos (“RGPD“, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) marca la obligatoriedad de que empresas, organizaciones y administraciones cuenten con un DPD, para facilitar el cumplimiento de sus obligaciones como responsables o encargados de datos personales, en el caso de que se cumplan una serie de requisitos establecidos por su artículo 37.

El RGPD regula por primera vez la figura del DPD desde la perspectiva de los sujetos obligados españoles, ya que no tenía un reflejo en la normativa de protección de datos a nivel nacional. Este figura sí que tenía, en cambio, un papel principal en el derecho nacional de otros Estados miembros. Algunos como Alemania y Croacia ya establecen en su derecho nacional la obligación de que exista un DPD en términos generales, mientras que otros como Finlandia (operadores de los servicios de salud) o Hungría (entidades financieras, entidades de utilidad pública y de servicios de telecomunicaciones) requieren el nombramiento de un DPD en el caso de que la entidad opere en determinados sectores.

La figura del DPD tal y como se regula en el RGPD ha sido interpretada en una guía por el Grupo de Trabajo del Artículo 29, en particular en relación con los casos en los que resultará obligatorio su nombramiento. El principal mensaje que transmite el Grupo de Trabajo del Artículo 29 es el de que las entidades afectadas nombren un DPD de manera voluntaria, incluso en los casos en que no resulte obligatorio. El nombramiento de un DPD será obligatorio para cualquier autoridad y organismo público, para aquellas entidades cuyas actividades principales impliquen una “observación habitual y sistemática de interesados a gran escala”, y para aquellas cuyas actividades principales impliquen el tratamiento a gran escala de categorías especiales de datos personales.

Dicho Grupo de Trabajo trata aspectos fundamentales como el concepto de “a gran escala”, “actividades principales” y “observación habitual y sistemática de interesados”, describiendo los factores que han de tenerse en cuenta y ofreciendo ejemplos prácticos. Otras posibilidades ofrecidas por el RGPD, como el empleo de un delegado para varias entidades, también son tratadas.

En el Esquema de la Agencia Española de Protección de Datos de Certificación de Delegados de Protección de Datos (“Esquema“) se establece una estructura orgánica cuadripartita: la AEPD como propietaria del Esquema y encargada de su desarrollo; la Entidad nacional de Acreditación, organismo único para la acreditación de las entidades de certificación que participen en el Esquema; las entidades de certificación, certifican a los DPD y les conceden la denominada “marca de conformidad”; y las entidades de formación, las cuales ofrecen una formación que satisfaga los requisitos previos de la certificación.

En su búsqueda de la certificación de los requisitos de competencia que un DPD debe tener, el Esquema tiene como fin que los DPD estén cualificados para desempeñar las funciones mínimas que tendrá el DPD, según el artículo 39 del RGPD. A grandes rasgos serían las siguientes:

  • Informar y asesorar al responsable o encargado del tratamiento de sus obligaciones legales.
  • Supervisar el cumplimiento del RGPD y demás normativa relacionada –nacional o europea-, la asignación de responsabilidades, la formación del personal, y las auditorías que se lleven a cabo.
  •  Cooperar con, y actuar de punto de contacto de, la autoridad de control.

El Esquema señala una extensa lista de capacidades, cualidades y competencias que han de atesorar los DPD para desempeñar las funciones establecidas por el RGPD y que pueda establecer la normativa naciones de cada Estado miembro. Las competencias se aglutinan en una serie de tareas, de las cuales destacan:

  • Valoración de las finalidades de tratamiento y de las bases jurídicas que apoyen las mismas.
  • Determinación de normativa sectorial aplicable.
  • Diseño de políticas y esquemas de actuación ante las distintas obligaciones de los responsables o encargados (e.g. información a interesados, solicitudes de ejercicio de derechos, políticas internas).
  • Implantación de medidas de privacidad por defecto y desde el diseño.
  • Identificación de los instrumentos adecuados para llevar a cabo transferencias internacionales de datos.
  • Determinación de la necesidad de realizar y realización evaluaciones de impacto.
  • Formación y sensibilización de los empleados del responsable o encargado.

El Esquema también identifica una serie de prerrequisitos de formación y experiencia para la obtención de la certificación como DPD que se complementan con la realización de una prueba tipo test de 150 preguntas dividida en tres bloques –”dominios”, en la terminología empleada por el Esquema- que se corresponden con el conocimiento efectivo de la normativa, la “responsabilidad activa” (i.e. conocimientos relacionados con la evaluación y gestión de riesgos de los tratamientos, así como protección de datos desde el diseño y por defecto), y el control de técnicas para garantizar el cumplimiento de la normativa (i.e. auditorías).

Debe tenerse en cuenta que en la sección de Prerrequisitos se establece que la valoración de los mismos en lo que se refiere al RGPD “será la adquirida a partir de la fecha de entrada en vigor del citado reglamento: 25/5/2016”.

Por último, se debe tener en cuenta que la certificación a obtener tendrá una validez de tres años y deberá ser renovado mediante la justificación de haber recibido/impartido formación y de tener al menos un año de experiencia profesional en proyectos relacionados con las tareas propias del DPD.