¿Cuál es el momento adecuado para nombrar a un DPO? Las funciones del DPO en las distintas fases de la adecuación al RGPD
Un Delegado de Protección de Datos (DPO, por sus siglas en inglés) es una figura que se introdujo con el Reglamento General de Protección de Datos (RGPD) para supervisar el cumplimiento de la normativa en la materia dentro de la entidad en la que se nombra, así como para cooperar en el cumplimiento de las obligaciones relativas a las actividades de tratamiento de datos personales.
En determinadas ocasiones, es obligatorio el nombramiento de un DPO, y así lo establece el propio RGPD en su artículo 37:
-Cuando se trate de autoridades y organismos públicos tratando datos personales, a excepción de los tribunales de justicia.
-Cuando la entidad lleve a cabo un tratamiento que consista en la observación habitual y sistemática de los interesados a gran escala.
-Cuando la entidad lleve a cabo tratamiento a gran escala de categorías de datos especialmente protegidos o de datos relativos a condenas e infracciones penales.
Además de estos supuestos, en España, se ha previsto un extenso listado de entidades que requieren el nombramiento de un DPO, entre los que encontramos, a modo ilustrativo y no limitativo, los centros docentes, centros sanitarios, entidades de crédito o prestadores de servicios de publicidad.
Una vez establecida la necesidad de contar con un DPO, es necesario determinar cuándo es el momento de su nombramiento. Para ello, es necesario tener claro cuáles son sus funciones en cada fase de la adecuación al RGPD de una entidad.
En este sentido, podemos dividir el proceso de adaptación a la normativa de protección de datos en tres fases o momentos:
- Diseño del plan de adecuación
En este primer paso, se lleva a cabo el estudio e identificación de los servicios y sistemas utilizados en cada uno de los tratamientos realizados por la organización en base al ciclo de vida de los datos.
Dentro de esta fase inicial, es necesario realizar un análisis de los riesgos de los distintos tratamientos de datos previstos y las consecuentes medidas que reduzcan dicho riesgo a un riesgo aceptable.
Dentro de este proceso, será necesario elaborar la documentación relativa a las políticas internas de seguridad, protocolos de actuación ante situaciones relacionadas con el tratamiento de los datos (como, por ejemplo, solicitudes de ejercicio de derechos de protección de datos), así como se valorará las situaciones contractuales que deban darse en relación con los datos personales para elaborar modelos de contratos adaptados a ellas.
El diseño de plan de adecuación es intrínseco al plan de adaptación al RGPD, teniendo en cuenta que una de las obligaciones que debe cumplir el responsable o encargado del tratamiento es la derivada del principio de privacidad desde el diseño.
Este principio consiste en la obligación de integrar las garantías para la protección de los derechos y libertades de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sus servicios y productos. Entendido pues como la necesidad de considerar la privacidad y los principios de protección de datos desde la concepción de cualquier tipo de tratamiento.
Otro motivo por el que es obligatoria esta primera fase de diseño del plan de adecuación es la necesidad de cumplir con el principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD. Este principio implica la obligación del responsable de poder demostrar en todo caso que el tratamiento se datos se ajusta a las previsiones del RGPD, es decir, que se han tomado todas las medidas para ello, incluida la obligación de cumplir con la privacidad desde el diseño. Esto se traduce en la necesidad de tener todos los procesos de cumplimiento debidamente documentados.
- Implementación de la adecuación
En esta fase segunda, tras el diseño del plan de adecuación, es cuando deberá elaborarse una hoja de ruta práctica para la aplicación de las medidas que se hayan considerado necesarias en la fase anterior, así como para llevar a cabo un segundo análisis de los riesgos tras la implantación de dichas medidas.
Teniendo en cuenta el resultado que se obtenga, deberán introducirse en el plan todas las modificaciones que sean necesarias para alcanzar una adaptación efectiva a la normativa, en coherencia con la realidad y sus cambios.
También es este un buen momento para llevar a cabo un plan de formación y concienciación de los miembros de la entidad, sobre todo aquellos que vayan a tener algún contacto con datos personales.
Esta fase, al igual que en la anterior, es determinante para el cumplimiento del principio de privacidad desde el diseño y, al mismo tiempo, deberá quedar documentada en observancia del principio de responsabilidad proactiva.
- Control de cumplimiento y adaptación continua
Se trata de una fase de asesoramiento continuo frente a las situaciones que se den en relación con los datos personales y su tratamiento.
Esta fase implica una vigilancia de cumplimiento y mejora continua de la documentación y los procedimientos y protocolos adoptados para todo lo relacionado con datos personales.
Se trata, en consecuencia, de una fase que se alarga durante todo el tiempo en que exista algún tratamiento de datos personales.
Como se ha podido ver, algunas de las obligaciones derivadas del RGPD empiezan mucho antes del momento en el que los datos empiezan a tratarse efectivamente, y que empiezan ya en el momento del planteamiento mismo de estas actividades de tratamiento de datos.
Teniendo en cuenta este hecho, resulta lógico que, de igual manera, en el caso en que deba nombrarse, el DPO existiera antes del tratamiento mismo, de forma paralela al nacimiento de las obligaciones.
No podría ser posible el cumplimiento de una obligación previa al tratamiento, como lo es el cumplimiento del principio de responsabilidad proactiva o de la privacidad desde el diseño, sin un nombramiento igualmente previo al tratamiento.
Es por ello que, para un cumplimiento total y adecuado de las exigencias establecidas en la normativa de protección de datos, así como para una buena ejecución de las funciones atribuidas al DPO, es necesario que este se encuentre nombrado desde el momento en que las actividades de tratamiento son planteadas, esto es, ya durante el diseño y desarrollo del plan de adecuación.
Sara Hervías Costa, Privacy Counsel, Legal Army