viernes, 13 de abril de 2012

EL DELEGADO DE PROTECCIÓN DE DATOS


Resumen: Análisis de la figura del DPO (Data Protection Officer -Delegado de Protección de Datos), que aparece en el borrador del nuevo Reglamento Europeo de Protección de Datos (RGPD/UE), actualizado a la versión 14481/15, [2] de 27 de noviembre de 2015.




Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
Actualizado
10 de diciembre de 2015



ÍNDICE.

1. INTRODUCCIÓN
1.1. NORMATIVA APLICABLE ACTUALMENTE EN ESPAÑA
1.2. ACTORES CONTEMPLADOS ACTUALMENTE EN ESPAÑA
1.3. NUEVO ACTOR QUE APARECE EN EL REGLAMENTO DE LA EU
1.4. EMPRESAS QUE REQUERIRÁN DISPONER DE UN DPO
1.5. FIGURAS IMPLANTADAS EN LOS ESTADOS DE LA UE
2. ATRIBUCIONES PROFESIONALES
2.1. SEGÚN EL BORRADOR DEL REGLAMENTO
3. DESEMPEÑO PROFESIONAL
3.1. EXTERNALIZACIÓN Y COMPARTICIÓN DE UN DPO
3.2. INDEPENDENCIA
3.3. APOYO DE LA DIRECCIÓN
3.4. COMPETENCIAS PROFESIONALES
4. BIBLIOGRAFIA CONSULTADA
5. CONTROL DE CAMBIOS DEL ARTÍCULO
6. DERECHOS DE AUTOR

1. INTRODUCCIÓN.

Leyendo el borrador del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), se observa la aparición de una figura novedosa, en relación a la LOPD (Ley Orgánica de Protección de datos) vigente en el estado español.

1.1. NORMATIVA APLICABLE ACTUALMENTE EN ESPAÑA
Para situarnos, en el ordenamiento jurídico vigente actualmente en España, podríamos destacar la siguiente legislación básica en materia de protección de datos de carácter personal:
  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ambas en concordancia y como transposición de la Directiva europea 95/46/CE , de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.


NOTA DEL EDITOR: La Comisión Europea ha decidido basar su nueva propuesta en un reglamento y no en una directiva como la actual (Directiva 95/46/CE) ya que es un medio mucho más idóneo para armonizar su aplicación en todo el EEE (Espacio Económico Europeo). La razón es que entre ambos instrumentos jurídicos, un reglamento es una norma de aplicación directa a los Estados miembros sin posibilidad de que estos lleven a cabo ninguna modificación de la misma, mientras que una directiva requiere de un proceso de transposición al derecho nacional. Por consiguiente, el futuro reglamento evitará que los legisladores de cada país miembro se desvíen del texto que en su día aprueben el Parlamento Europeo y el Consejo de la Unión Europea.


1.2. ACTORES CONTEMPLADOS ACTUALMENTE EN ESPAÑA

1.2.1. Según la LOPD y el RLOPD
A partir de la legislación aplicable actualmente en España, se consideran tres figuras en relación al tratamiento de datos de carácter personal, enunciadas en la LOPD y su Reglamento de aplicación:


  • RESPONSABLE DEL FICHERO O TRATAMIENTO (DATA CONTROLLER): "La persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente".
  • ENCARGADO DEL TRATAMIENTO (DATA PROCESSOR): "Es la persona física o jurídica, pública o privada u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio".
  • RESPONSABLE DE SEGURIDAD (DSO): “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

NOTA DEL EDITOR. Según el Artículo 95 del RLOPD: “En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero o al Encargado del Tratamiento de acuerdo con este reglamento”.

1.2.2. Para proteger la información


  • CISO (CHIEF INFORMATION SECURITY OFFICER):   Es el responsable en una organización de asegurar que los activos de información estén adecuadamente protegidos. Para ello diseñará, desarrollará, implementará y mantendrá diferentes procesos encaminados a reducir los riesgos de los activos de información y la tecnología que los soportan”.

Debe basarse en un SGSI (Sistema de Gestión de la Seguridad de la Información), tipo el que marca la ISO 27001, para gestionar la seguridad de la información de forma sistemática y en base a tres parámetros:

  • Análisis de Riesgos (amenaza, probabilidad, impacto)
  • Regulación y Cumplimiento Legal
  • Políticas generales de la empresa (Estrategia empresarial)

No es suficiente con que asegure la CONFIDENCIALIDAD, DISPONIBILIDAD e INTEGRIDAD de la Información, sino que debe asegurar el cumplimiento legal y normativo. No olvidemos que simplificando mucho, podemos considerar las medidas de seguridad que marca actualmente el Reglamento de Aplicación de la LOPD, como un mini SGSI con alcance reducido a los datos de naturaleza personal en la empresa.

NOTA DEL EDITOR. Si observamos los controles de seguridad del apéndice A de la ISO 27001:2013, vemos que está el objetivo 18.1 “Cumplimiento con requerimientos legales y contractuales”, que se implementa mediante los controles 18.1.1. al 18.1.5. El control 18.1.4. trata sobre privacidad y protección de información identificable personal.

Cuando se apruebe el borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la Protección de los Datos Personales, el CISO podrá relajarse en lo referente a regulación y cumplimiento legal, debiendo entonces coordinarse con el DPO.

1.3. NUEVO ACTOR QUE APARECE EN EL REGLAMENTO EU


El Parlamento Europeo y el Consejo de la Unión Europea, considera en el borrador del Reglamento, además de las dos primeras figuras anteriores, (Responsable y Encargado del Tratamiento), otra adicional en el supuesto que se den ciertos condicionantes:





  • DELEGADO DE PROTECCIÓN DE DATOS (DPO): “(75) Cuando el tratamiento es realizado en el sector público o, siendo realizado en el sector privado, los tratamientos son realizados por una empresa con actividades principales que involucren tratamientos de datos personales que requieran un seguimiento regular y sistemático, una persona con un conocimiento experto de la legislación y las prácticas de protección de datos deberá ayudar al Responsable o Encargado para supervisar el cumplimiento interno respecto a esta Regulación. El nivel necesario de conocimiento experto debe determinarse, en particular, de acuerdo con las operaciones de tratamiento llevadas a cabo y la protección necesaria para los datos personales tratados por el Responsable o Encargado. Tales oficiales de protección de datos, tanto si son, o no, empleados del Responsable del tratamiento, deben estar en condiciones de ejercer sus funciones y tareas de una manera independiente”. 

En las últimas revisiones se han revisado y modificado los condicionantes para requerirse la figura del DPO, como veremos a continuación. 

NOTA DEL EDITOR: Si bien la traducción literal del inglés de la figura del DPO (Data Protection Officer) sería “Oficial de Protección de Datos”, en la versión española de la PRGPD se traduce como “Delegado de Protección de Datos”.





1.4. EMPRESAS QUE REQUERIRÁN DISPONER DE UN DPO


1.4.1. Según el borrador del Reglamento europeo



Es imprescindible disponer de la nueva figura del DPO (Delegado de Protección de Datos) si se da alguno de los siguientes condicionantes:


  • El tratamiento es realizado por una autoridad u organismo público, a excepción de los tribunales que actúan a título judicial; o
  • Las actividades principales del Responsable o del Encargado consisten en operaciones de tratamiento que, en virtud de su naturaleza, alcance y/o sus efectos, requieren un seguimiento regular y sistemático a gran escala, de los datos de los titulares; o
  • Las actividades principales del Responsable o del Encargado consisten en tratamientos basados en categorías especiales de datos, de conformidad con el artículo 9, y datos relativos a las condenas penales y delitos contemplados en el artículo 9 bis.



1.4.2. Según CEDPO

Con respecto a la posible obligación de nombrar a un DPO, CEDPO (Confederation of European Data Protection Organizations) en su día sugirió tener en cuenta los siguientes criterios basados en los riesgos que presenta la actividad. Observamos que prácticamente la totalidad de sus sugerencias, aunque de forma descafeinada, se han incorporado al nuevo texto. 
  • Finalidad de las operaciones de tratamiento. Puede atribuirse un potencial riesgo más alto a las empresas que comercialmente llevan a cabo un tratamiento automatizado de datos personales con el fin de comunicarlos a terceros y requieren el consentimiento de los titulares de los datos por un motivo legítimo (por ejemplo, listas para mailings). Lo mismo se aplica a las organizaciones que traten datos personales con fines de investigación de mercado o de opinión o para cualquier proceso que requiere evaluación de impacto en la protección de datos. Lo mismo podría aplicarse los tratamientos en los que se obtengan perfiles de los individuos que pudieran implicar riesgos específicos para los derechos y libertades de los interesados.
  • Sensibilidad de los datos o el tratamiento. Naturalmente, la sensibilidad de los datos que están siendo procesados tiene que ser tomada en cuenta. Por ejemplo de acuerdo con la Ley Federal Alemana de Protección de Datos (BDSG), la obligación de nombrar a un DPO se aplica en todos los casos donde se requiere control previo (en el Reglamento, el Comité se remite a la "consulta"). Esto puede incluir el tratamiento de los datos sensibles de acuerdo con el artículo 8 (1) de la Directiva de la UE (95/46/CE) a menos que este tratamiento está obligado a cumplir con la legislación nacional o simplemente incidental. En cualquier caso, CEDPO cree que la evaluación de la utilidad de nombrar a un DPO debería ser parte de la evaluación del impacto en la protección de datos individual llevado a cabo por el responsable.
  • Cantidad de datos objeto de tratamiento. Las organizaciones que procesan grandes cantidades de datos personales son más propensas a padecer situaciones de riesgo para los derechos y libertades de los interesados que las que  sólo tratan un mínimo de datos personales. En general, las organizaciones en las que el tratamiento de datos personales es una parte importante de su finalidad principal (por ejemplo, los proveedores de servicios de Internet o de telecomunicaciones) tienen un potencial de mayor riesgo, debido a las grandes cantidades de datos personales tratados. Lo mismo se aplica a las empresas que traten datos personales en nombre de sus clientes. CEDPO está de acuerdo con la Comisión de que los mecanismos de control interno son especialmente importantes "en los casos cada vez más comunes en donde los responsables delegan el tratamiento en otras entidades (por ejemplo, encargados)." Incluso si el responsable sigue siendo responsable en estos casos, es esencial tener una persona de contacto con conocimientos dentro del encargado.


1.5. FIGURAS IMPLANTADAS EN LOS ESTADOS DE LA UE


1.5.1. Justificación

La Directiva 95/46/CE dio a los estados miembros de la Unión Europea la posibilidad de introducir en su legislación nacional la designación de un DPO (Delegado de Protección de Datos). Algunos países han aprovechado esta oportunidad y han actuado en base a ella.
 Sin embargo, los derechos y facultades de DPO pueden variar en función de las legislaciones de los estados miembros de la UE, como puede apreciarse en un estudio del CNIL. (2)


1.5.2. Oficial de Protección de Datos (DPO)

De donde proviene:
El rol de DPO proviene del artículo 18 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos.
 
Atribuciones:
El DPO es responsable, en particular para asegurar de forma independiente la aplicación interna de la legislación nacional de protección de datos, de llevar un registro de tratamiento de datos personales aplicado en la organización, y para garantizar que los derechos y libertades de los interesados ​​sean poco probable que se vean perjudicados por las operaciones de tratamiento. En Francia, este papel es asumido por el CIL (Corresponsal de Informática y Libertades).

1.5.3. Oficial de seguridad de datos (DSO)

De donde proviene:
El rol de DSO proviene del artículo 2.4 de la Directiva 2009/136/CE se modifica la Directiva 2002/58/CE relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y su Reglamento.

 
Atribuciones:
El DSO es responsable, en particular para proteger los datos contra su cesión no autorizada, acceso a los mismos por parte de una persona no autorizada, o cualquier cambio, pérdida, daño o destrucción. El DSO también supervisa la aplicación de las medidas técnicas y organizativas para proteger los datos personales sean procesados, adecuados a los riesgos y la categoría de los datos protegidos.


1.5.4. Mapa de adopción de DPO y DSO en la UE

A continuación se muestra un mapa [4] donde se representa la figura adoptada por los diversos países de la UE en relación a la protección de datos de naturaleza personal.



2. ATRIBUCIONES PROFESIONALES

NOTA DEL EDITOR. La figura del DPO o equivalente ya existe actualmente  en otros países de la UE. Puede verse un estudio elaborado por CEDPO [1]en el apartado de bibliografía.



2.1. SEGÚN EL ÚLTIMO BORRADOR DEL REGLAMENTO

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del presente Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros (…).
  • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Velar por la conservación de la documentación contemplada en el artículo 28.
  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32.
  • Ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización de conformidad con el artículo 33.
  • Actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales, incluida la consulta previa a que hace referencia el artículo 34, y consultar, en su caso, sobre cualquier otro asunto.

Art. 37.2 bis: “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

3. DESEMPEÑO PROFESIONAL

 
3.1. EXTERNALIZACIÓN Y COMPARTICIÓN DEL DPO



Otro aspecto interesante en relación al Delegado de Protección de Datos, es que puede ser compartido por un grupo de empresas, o lo que es lo mismo, desempeñar sus funciones a tiempo parcial en cada una de ellas. Cita textualmente:




“Art. 35.2: Un grupo de empresas podrá nombrar un delegado de protección de datos único”.

“Art. 35.3: Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un solo delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño”.


No solo eso, sino que además existe la posibilidad que dicha labor se desempeñe en la modalidad de “Outsourcing” o externalizada como “contrato de servicios”-


“Art. 35.8: El delegado de protección de datos podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios”.


“Art. 35.9: El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control (…)”.


Así, aunque esté externalizado deberá hacerse público el nombramiento y especialmente notificado a la Autoridad de Control.



Normalmente será un consultor especializado, independiente o adscrito a un despacho profesional o a una empresa de consultoría, el que actúe y reciba el nombramiento como DPO externo.

No obstante, un posible caso de compartición de dicha figura entre varias empresas podría ser asociándola a los actuales “Códigos Tipo”. Se  trata de códigos de auto-conducta sujetos a regulación que nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos a empresas de sectores específicos que tratan datos de naturaleza personal.  Se parte de la base que las empresas que los suscriben tienen parecidas obligaciones y necesidades respecto a la protección de datos de naturaleza personal.


NOTA DEL EDITOR: Puede ampliarse información sobre los “Códigos Tipo” en este mismo Blog:
CÓDIGOS TIPO

3.2. INDEPENDENCIA

Para proteger su independencia y evitar una excesiva movilidad en el puesto, se blinda la duración de su desempeño, asegurándola durante el período establecido, salvo incumplimiento de su labor.


“Art. 35.5: El (…) delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos contempladas en el artículo 37, y en particular a la ausencia de conflictos de intereses. (…)”


"Art. 35.7: Durante su mandato, el oficial de protección de datos podrá ser despedido, además de por motivos graves bajo la Ley del Estado miembro en cuestión que justifique el despido de un empleado o funcionario público, sólo si el oficial de protección de datos ha dejado de cumplir las condiciones requeridas para el desempeño de sus tareas con arreglo al artículo 37".
 
3.3. APOYO DE LA DIRECCIÓN


Para alcanzar el éxito en la implementación de los sistemas de gestión, los programas efectivos de Compliance, la aplicación de medidas de prevención y control interno, etc., el apoyo de la Alta Dirección (Órganos de gobierno corporativo) es imprescindible.


“Art. 36.1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestiones relativas a la protección de datos personales”.


“Art. 36.2. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las tareas contempladas en el artículo 37 facilitando tanto (…) los recursos necesarios para el desempeño de dichas tareas como el acceso a los datos personales y a las operaciones de tratamiento, y a mantenerlos según su experto conocimiento”.


“Art. 36.3. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos pueda actuar con independencia en el desempeño de sus tareas y no reciba ninguna instrucción relativa al ejercicio de dichas tareas. No será sancionado por el responsable o el encargado del tratamiento por desempeñar sus tareas. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento”.


“Art. 36.4. El responsable de protección de datos estará obligado por el secreto o la confidencialidad en relación con el desempeño de sus funciones, de conformidad con el Derecho de la Unión o de un Estado miembro”.


3.4. COMPETENCIAS PROFESIONALES

Los criterios aplicables a las competencias profesionales de DPO podrán desarrollarse por medio de los “Actos Delegados”. Se delega en la Comisión la facultad de adoptar actos “no legislativos” de alcance general que completen o modifiquen determinados elementos no esenciales del reglamento.



"Art. 35.5: El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento."


CAPÍTULO X – ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN. El artículo 86 contiene las disposiciones tipo para el ejercicio de las delegaciones en consonancia con el artículo 290 del TFUE. Ello permite al legislador delegar en la Comisión el poder de adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales de un acto legislativo (actos cuasi legislativos)”. No obstante, según dispone el artículo 86.4 “Tan pronto como adopte un acto delegado, la Comisión lo notificará simultáneamente al Parlamento Europeo y al Consejo”.



3.4.1. Áreas de conocimiento

En base a las directrices de la Norma internacional ISO 27001 de Gestión de la Seguridad de la Información, coincidiremos que las áreas de conocimiento de un DPO para poder asegurar la protección de la información, con alcance limitado a datos de naturaleza personal, debería basarse en medidas:

·       Jurídicas

·       Técnicas

·       Organizativas

Da la impresión que, mientras el actual RLOPD en España asigna al Responsable de Seguridad principalmente medidas técnicas, el Reglamento europeo aboga por el conocimiento de la legislación en materia de protección de datos.


3.4.2. Perfil formativo


Para mí, la ratio legis de la sección IV (artículos 35, 36 y 37) de la propuesta de RGPDUE no es otra que impulsar el rigor en la protección de datos en el marco de la Unión Europea,  dotando de la debida profesionalización a la figura del DPO. También elevándola al nivel que se merece, por la responsabilidad de su desempeño, en las organizaciones.

En cuanto al perfil formativo del Delegado de Protección de Datos, surge la duda de si se refiere a un perfil de Licenciado en Derecho con buenos conocimientos de tecnologías TIC o bien un Ingeniero de Sistemas o equivalente con sólidos conocimientos sobre la legislación vigente en materia de protección de datos personales. O quizá ambos son válidos, pues cada perfil puede buscar formación complementaria en el ámbito en el que presente mayores carencias [Postgrados de Derecho o de seguridad de la información, por ejemplo].


El borrador no concreta una determinada formación académica o profesional, sino que alude a unos conocimientos especializados tanto de tipo jurídico, como de gestión de la protección de datos, junto con la capacidad de atender a las tareas específicas previstas en el art. 37, y todo ello teniendo en cuenta que deberá disponer de conocimiento especializado respecto de los tratamientos, es decir, poseer de un cierto nivel de conocimiento en relación al sector de actividad en el que se desenvuelve la organización.  Luego a los conocimientos generales en materia de protección de datos (jurídicos y de gestión), deberán unirse conocimientos especializados en relación al tratamiento concreto (banca, salud, administraciones públicas, marketing, etc.), según el caso. En el fondo, este conocimiento del sector es lo mismo que se exige a los CCO (Compliance Officers).

NOTA DEL EDITOR: Para un análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas, puede consultarse en este mismo Blog:
ANALISIS DEL BORRADOR DE REGLAMENTO EUROPEO


Para un análisis comparativo del borrador del Reglamento publicado el 25 de enero de 2012 por la Comisión Europea, de modo que permita conocer en detalle todos los aspectos regulados, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas, puede también consultarse en este mismo Blog:
COMPARATIVA LOPD Y BORRADOR REGLAMENTO EUROPEO



4. BIBLIOGRAFIA CONSULTADA.

- Comisión Europea. 25 Enero 2012. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”.
PROPUESTA DE REGLAMENTO

- [3] Consejo de la Unión Europea. 3 de octubre 2014. “Propuesta de Reglamento del Parlamento Europeo y del Consejo… (Reglamento General de Protección de Datos). Primera lectura”. Capítulo IV.
Debate en el DAPIX



- [2] Council of the European Union. 27 November 2015. “Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation); Preparation for trilogue - whole Regulation”.
14481/15

- Francisco José Santamaría Ramos. 2011. “EL ENCARGADO INDEPENDIENTE, figura clave para un nuevo Derecho de protección de datos”. Editorial LA LEY (grupo Wolters Kluwer).


- [1] CEDPO contribution. 6 Febrero 2012. “COMPARATIVE ANALYSIS OF DATA PROTECTION OFFICIALS ROLE AND STATUS IN THE EU AND MORE”.
COMPARATIVE ANALYSIS DPO IN THE EU

- Peter Hustings (The European Data Protection Supervisor). 12 Octubre 2010. “DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR”.
DECISION OF EU DPO SUPERVISOR

- The European Data Protection Supervisor. 28 Noviembre 2005. ”POSITION PAPER ON THE ROLE OF DATA PROTECTION OFFICERS IN ENSURING EFFECTIVE COMPLIANCE WITH REGULATION (EC) 45/2001”.
ROLE OF DPO EC

- Network of Data Protection Officers of the EU institutions and bodies. 14 Octubre 2010. “PROFESSIONAL STANDARDS FOR DATA PROTECTION OFFICERS OF THE EU INSTITUTIONS AND BODIES WORKING UNDER REGULATION (EC) 45/2001”.
PROFESSIONAL STD FOR EU DPO


- [4] CNIL. “DPO in Europe - Which countries in Europe have adopted a Data Protection Officer?”. Página web.

5. CONTROL DE CAMBIOS DEL ARTÍCULO


Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo  conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.


Fecha
Cambio
Responsable
13/04/2012
Redacción inicial del artículo.
Autor
18/10/2014
Se actualiza el artículo de forma general a partir de la primera lectura, [3] de fecha 3 de octubre 2014, de la propuesta de “Reglamento del Parlamento Europeo y del Consejo… (Reglamento General de Protección de Datos)”.
Autor
05/12/2015
Se actualiza el artículo de forma general a partir del documento 14481/15 del Consejo, [2] de 27 de noviembre de 2015.
Autor









6. DERECHOS DE AUTOR


Imágenes bajo licencia 123RF internacional.





La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.





5 comentarios:

  1. Estimado Jose Luis,

    Sabemos o podemos deducir si a efectos de la normativa española, se tomará como referencia alguna certificación profesional nacional o internacional, que sirva para acreditar suficiente experiencia y conocimientos para desempeñar las funciones del DPO?.
    Gracias por tu artículo!

    ResponderEliminar
  2. Muchas gracias por tus comentarios.

    Con toda la prevención posible, ya que debemos tener en cuenta que estamos hablando de un “borrador” del nuevo Reglamento General Europeo de Protección de Datos, que puede ser sustancialmente modificado antes de su aprobación.

    Aunque la figura del DPO se perfila bastante, es cierto que no se habla de la formación o acreditaciones que se exigirán para acceder al puesto. Hay que tener en cuenta que mediante los “Actos Delegados”, la Comisión tiene potestad para “ajustar” el Reglamento una vez sea aprobado. Por consiguiente me parece prematuro intentar clarificar ahora las condiciones de acceso que mediante la lectura del borrador del RGPD de la UE no se disipan.

    El Artículo 35.11 cita textualmente: “La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar (..), así como los criterios aplicables a las cualidades profesionales del delegado de protección de datos contempladas en el apartado 5”.

    En España y según mi humilde opinión, creo que asociaciones “profesionales” como pueden ser APEP o DPI, que con la aprobación del nuevo reglamento deberían actualizar y homologar a nivel europeo las certificaciones que ya poseen actualmente para España, o incluso ENATIC, tienen mucho que decir al respecto. Tengamos en cuenta que cuando entre en vigor el RGPD de la UE, sustituirá en España al actual RD 1720/2007 de 21 de diciembre.

    No sé qué ocurrirá con las certificaciones actuales de la IAPP (en inglés), pero al final todas deberían de converger. Igual que las Normas ISO son universales, pero hay varias entidades certificadoras acreditadas, lo mismo podría ocurrir con las certificaciones, personales, de competencia para ejercer de DPO.

    DETALLE DE CERTIFICACIONES ACTUALES:

    ACP (APEP Certified Privacy) se trata de una certificación en materia de protección de datos de carácter personal y privacidad existente en España, bajo el control de la APEP (Asociación Profesional Española de Privacidad).
    Más información: http://www.apep.es/acp

    CDPP (Certified Data Privacy Professional) se trata de una certificación española bajo el control del DPI (Data Privacy Institute) que acredita a los profesionales en privacidad de datos, perteneciente a la Asociación Española para el Fomento de la Seguridad de la Información. http://www.ismsforum.es/ficheros/descargas/des109_CDPP_IIForo_DPI_NRA.pdf


    CIPP/E (Certified Information Privacy Professional/Europe) is the first professional credential specific to European data protection professionals that is part of a comprehensive principles-based framework and knowledge base in information privacy. The CIPP/E encompasses pan-European and national data protection laws, the European model for privacy enforcement, key privacy terminology, and practical concepts concerning the protection of personal data and trans-border data flows.
    Founded in 2000, the IAPP (International Association of Privacy Professionals) is a not-for-profit association with more than 12,000 members in 78 countries. The IAPP helps define, support and improve the privacy profession through networking, education and certification.
    https://www.privacyassociation.org/certification/cipp_certification_programs/cipp_e

    Espero haberte contestado.
    Saludos:
    José Luis

    ResponderEliminar
  3. Muy interesante el articulo. No sé si desde su publicación hay novedades al respecto, pero al leerlo se asalta una duda:

    En el caso de que el DPO sea externo, dónde recae la responsabilidad sobre la información? Es decir, si se prevé que se endurecerá el régimen sancionador, con la entrada en vigor de la norma, que pasará en el caso de externalizar la figura del DPO. Hasta que punto será responsable la empresa propietaria de los datos y la persona, o empresa, que ofrezca el servicio?

    Saludos y gracias,

    ResponderEliminar
    Respuestas
    1. Gracias por participar. Intentaré darte mi opinión, siempre partiendo de la base de que se trata de un borrador del reglamento susceptible por tanto de ser modificado.

      Antes de empezar, y salvando las distancias al estar hablando tanto de una figura como de legislación diferente, permíteme que recuerde lo que ocurre actualmente en España con el Responsable de Seguridad tal y como lo detalla el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre):
      “Artículo 95. Responsable de seguridad. En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. (…) En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.
      Y éste creo, desde mi particular opinión, que es el espíritu que debe prevalecer también en el nuevo reglamento.

      La organización que decide recabar los datos de los interesados, para someterlos a determinados tratamientos, es quién debe ostentar la máxima responsabilidad en cuánto a protección de datos de naturaleza personal.

      Fijémonos en “3.4.4. CAPÍTULO IV – RESPONSABLE Y ENCARGADO DEL TRATAMIENTO 3.4.4.1. Sección 1 - Obligaciones generales. El artículo 22 toma en consideración el debate sobre un «principio de responsabilidad» y describe pormenorizadamente la obligación de responsabilidad del responsable del tratamiento a la hora de cumplir el presente Reglamento y de demostrar su observancia, incluso mediante la adopción de políticas y mecanismos internos que garanticen dicha conformidad”. Queda claro que no se aparta de lo comentado anteriormente.

      Tu planteamiento, sin embargo, es muy interesante: ¿Qué ocurre si el DPO, contratado de forma externalizada en modalidad de prestación de servicios, hace mal su trabajo, incumple sus obligaciones y nadie se da cuenta?

      Para ello es importante que el responsable del tratamiento no nombre a cualquiera como DPO, al igual que tampoco lo haría en aspectos críticos de asesoramiento empresarial (jurídico, financiero…). La exigencia de certificaciones para acceder al puesto (a ser posible reguladas por la administración o mediante actos delegados de la propia Comisión Europea) nos darán mayor garantía.

      Cita el propio Artículo 36. “Función de delegado de protección de datos: 1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales”. Éste artículo denota la necesidad de una función de control por parte de los órganos de Gobierno corporativo. El “buen Gobierno” ya implica dicho control que no será una excepción en éste caso.

      Dice también el Artículo 28. “Documentación. 1. Cada responsable y cada encargado del tratamiento, así como, en su caso, el representante del responsable, deberán conservar la documentación de todas las operaciones de tratamiento efectuadas bajo su responsabilidad”. Está claro que el responsable del tratamiento conocerá todos los tratamientos, con independencia de que la documentación la cumplimente el DPO.

      También desde mi punto de vista, las políticas deben definirlas, aprobarlas y difundirlas los órganos de gobierno corporativo. Evidentemente el DPO asesorará sobre si las políticas actuales de la organización cumplen con el reglamento, cuando esté aprobado, o bien deben modificarse o ampliarse. Pero nunca el DPO las promulgará. Incluso en el supuesto nada descabellado de que un DPO formara parte del comité de dirección corporativo, no sería éste sino el comité en su conjunto quién dictara las políticas y las hiciera refrendar por la Dirección General.

      Eliminar
    2. Continuación…
      En el Artículo 37 b). Tareas del delegado de protección de datos. “b) supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las AUDITORÍAS correspondientes”;

      Una posibilidad que se me ocurre para la tranquilidad de los órganos de gobierno corporativo, puede ser encargar esporádicamente auditorías periódicas a otras organizaciones independientes de manera que aporten convicción al desempeño profesional del DPO. Esto es una práctica habitual en entornos financieros.

      Espero haberte ayudado.
      Saludos cordiales:
      José Luis

      Eliminar

Nota: solo los miembros de este blog pueden publicar comentarios.