TRADUCCIÓN NO OFICIAL1 PRIMERA TOMA DE POSICIÓN de la Confederación de Organizaciones Europeas de Protección de Datos (CEDPO) sobre la propuesta de la Comisión Europea para una propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) COM(2012) 11/04 France 1 Germany Véase el documento original en http://bit.ly/HeeUpi. Spain Netherlands CEDPO: [email protected] 2 I. INTRODUCCIÓN La Confederación de Organizaciones Europeas de Protección de Datos (CEDPO) fue fundada en 2011. Los miembros fundadores de CEDPO son los siguientes: AFCDP – Association Française des Correspondants à la Protection des Données à Caractère Personnel APEP – Asociación Profesional Española de Privacidad GDD – Gesellschaft für Datenschutz und Datensicherheit NGFG – Nederlands Genootschap van Functionarissen voor de Gegevensbescherming Las organizaciones mencionadas representan conjuntamente los intereses de las organizaciones de profesionales de la protección de datos y oficiales de privacidad del sector público y privado de los cuatro Estados miembros de la UE en los que desarrollan su actividad. El objetivo principal de CEDPO es promover el importante papel del delegado de protección de datos (DPO), para una aplicación de la legislación sobre protección de datos equilibrada, práctica y eficaz. Además, CEDPO pretende contribuir a una mejor armonización de la legislación y de las prácticas de protección de datos en la Unión Europea y el Espacio Económico Europeo. Con base en las experiencias obtenidas y compartidas por las organizaciones nacionales de protección de datos, la Confederación tiene previsto iniciar y mantener una comunicación constructiva con las instituciones europeas competentes. La armonización de las prácticas de protección de datos también se logrará gracias a la interacción entre los miembros de las diferentes asociaciones nacionales. CEDPO ha publicado un estudio comparativo de las leyes aplicables a los DPO en 14 países diferentes, que constituye un documento útil para considerar el futuro del Reglamento (DPO). Este documento está disponible en el sitio web CEDPO en www.cedpo.eu. CEDPO quisiera aprovechar la oportunidad de comentar la propuesta de la Comisión, en general, y en particular sobre el papel y la posición del DPO, a través de este primer documento con una primera toma de posición. CEDPO planteará más detalles sobre otros aspectos de la propuesta en su momento. II. COMENTARIOS GENERALES SOBRE LA PROPUESTA DE LA COMISIÓN CEDPO acoge favorablemente la iniciativa de la Comisión de armonizar y modernizar el marco jurídico de protección de datos en la UE. CEDPO considera que esto es esencial para reducir las cargas administrativas que gravan a encargados y responsables. Sin embargo, creemos que la propuesta de la Comisión no explota todo el potencial de simplificación administrativa (véase más adelante el punto IV). CEDPO comparte la opinión de la Comisión según la cual la simplificación administrativa no debe conducir a una reducción general de la responsabilidad de los responsables y de los encargados del tratamiento para garantizar una protección de datos efectiva. En este sentido, las previsiones sobre el fortalecimiento y la armonización la función y la posición del delegado de protección de datos (DPO), cumple con las expectativas de CEDPO ya que esta constituye una medida importante a fin de intensificar el cumplimiento interno. Es esencial un enfoque armonizado que proporcione una regulación de protección de datos que sea a la vez, eficaz y económicamente razonable, este enfoque debe ser coherente y no debe ser www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 3 socavado. El Reglamento propuesto debe garantizar la seguridad jurídica. Esto incluye una aplicación uniforme de la nueva legislación de protección de datos en los Estados miembros. En este sentido CEDPO está preocupado por el artículo 34, apartado 2, letra (b), permitiría a las autoridades nacionales de protección determinar los tratamientos que son objeto de consulta previa. A pesar de que las autoridades nacionales de protección se supone que deben comunicar sus conclusiones al Consejo Europeo de Protección de Datos de acuerdo con el artículo 34, párrafo 4, esto puede dar una vez más lugar a diferentes enfoques de los Estados miembros. Esto iría en detrimento de los objetivos de la Comisión, especialmente con respecto a los responsables y encargados que se han establecido en varios Estados miembros. La propuesta contiene un buen número de aspectos que facultan a la Comisión para adoptar actos delegados de conformidad con el artículo 87, con el fin de especificar con mayor precisión ciertos requisitos de protección de datos (por ejemplo, el art. 35 párrafo 11, relativa a la designación y calificación de los DPO). El ejercicio de la delegación incluye ciertos derechos del Parlamento Europeo y al Consejo. De acuerdo con la Comunicación COM (2012) 9 final, la Comisión también mantendrá un diálogo estrecho y transparente con todas las partes interesadas en el que participen representantes del sector privado y público, a lo largo del proceso de adopción y con posterioridad a al mismo, especialmente en el contexto de la aplicación de nuevos instrumentos jurídicos. CEDPO se complace en proporcionar información a la Comisión, por ejemplo, en lo relativo a la especificación de criterios y requisitos para ordenar las actividades básicas de responsable y encargado a que se refiere el artículo 35, apartado 1, letra (c) y a los criterios para determinar las cualidades profesionales de los DPO a que se refiere el artículo 35, apartado 5. III. EL PAPEL Y LA POSICIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO) 1. Situación actual Tanto la Comisión Europea (Informe COM (2003) 265 final, pág. 18 y 24) y el Grupo del artículo 29 (WP 106, p.22 y 23) han recomendado la designación de los DPO. Además, la importante y creciente papel de los DPO ha sido reconocido a nivel mundial en la "Resolución de Madrid" en los estándares internacionales de privacidad aprobados por las autoridades de protección de datos de más de 50 países en la 31 ª Conferencia Internacional de Comisionados de protección de datos en 2009. Uno de los capítulos más relevantes del documento es el que hace referencia a las medidas proactivas. Se incluye la recomendación de nombrar oficiales de protección de datos o privacidad, con la debida cualificación, recursos y facultades para el adecuado ejercicio de sus funciones de supervisión. Alemania ha tenido una experiencia positiva con el DPO en los últimos 30 años y estos profesionales son cada vez más aceptados por los Estados miembros como Francia y los Países Bajos. En España, donde el papel DPO no es obligatorio, excepto en lo relativo a la designación de un responsable de seguridad a partir del nivel medio en la regulación de las medidas de seguridad, se ha hecho evidente - al menos para las grandes empresas - que este papel es indispensable. En estructuras complejas, el papel del DPO se está desarrollando desde una función de mero cumplimiento a una posición cada vez más estratégica. En los Países Bajos, donde nombrar un o una DPO no es obligatorio, el NGFG ha desarrollado una lista de comprobación para ayudar a las organizaciones decidir si procede o no esta designación2. 2 NGFG. (2008, April). Am I the Lucky One. Den Haag, the Netherlands. www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 4 2. Designación del DPO (Artículo 35) a) Introducir incentivos En general, el reconocimiento del DPO en el artículo 35 a 37 de la propuesta es muy bienvenida por CEDPO. Sin embargo, el Reglamento debería establecer incentivos en favor de la designación de DPO por responsables y encargados. Sería la medida más aceptada en los casos en que el nombramiento es preceptivo sin perjuicio de promover el nombramiento de DPO en otros casos. Nombrar DPO tiene grandes ventajas para los interesados, los responsables y encargados y para las autoridades de protección de datos (DPA). Esto se refleja, básicamente, por el artículo 4 del Capítulo IV de la propuesta. Un estudio independiente encargado por el Ministerio de Justicia holandés descubrió que las organizaciones que han nombrado un DPO tienen un mayor grado de concienciación en la observancia y el conocimiento de la legislación3. CEDPO considera que los considerandos del Reglamento deben hacer hincapié en las ventajas de la designación de un DPO y subrayar su papel central para el cumplimiento, especialmente a la luz de las nuevas obligaciones de los responsables y encargados destinados a conseguir una protección de datos más eficaz, como la necesidad las evaluaciones de impacto de protección de datos, la notificación de quiebras de seguridad, la privacidad por defecto, y la formación del personal. Cuando se refiere a la promoción de la protección efectiva de los datos como una ventaja competitiva, la Comisión debería mencionar el DPO. Cabe destacar que en muchos casos los DPO son buenos para los negocios. Disponer de un delegado de protección de datos competente y cualificado no es sólo una primera señal tangible de hacer efectivo el principio de responsabilidad y rendición de cuentas, sino también un factor de imagen positiva que ayuda a crear confianza. CEDPO está de acuerdo con la Comisión sobre la necesidad de evitar cargas administrativas innecesarias, sobre todo PYME. Sin embargo, esto no debe conducir a la conclusión de que las organizaciones más pequeñas no podrían beneficiarse por el nombramiento de un DPO. Por ejemplo, una pequeña start-up en el sector de información y la comunicación, puede muy bien beneficiarse de disponer del delegado de protección de datos como una ventaja competitiva. En cuanto a los recursos, si tenemos en cuenta el régimen de responsabilidad y las sanciones que se describen en el Capítulo VIII de la Propuesta, el nombramiento de un DPO puede ser una medida preventiva muy útil que, de hecho, no sólo ahorría dinero a los responsables y encargados, sino que también proporcionaría un mayor control sobre los riesgos reputacionales. Los y las DPO pueden contribuir a hacer que la información personal sea un activo valioso y no una fuente de preocupaciones. Por estas razones, la Comisión debe hacer hincapié en que también las empresas que no tengan la obligación legal de nombrar a un DPO pueden reducir considerablemente estos riesgos y mejorar su negocio haciendo esta posibilidad opcional. El Reglamento debería prever incentivos para que los responsables y encargados que no estando obligados a ello designen un DPO obtengan ventajas de los Estados miembros (por ej. en impuestos u otras cargas). Brouwer-Korf, A. (2009). Rapport 'Gewoon Doen, beschermen van veiligheid en persoonlijke levenssfeer'. Den Haag, the Netherlands. 3 Pro Facto (2008) H.B. Winter et. al Wat niet weet, wat niet deert: Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk Conclusion reached by the Second Chamber based on the research, “Evaluation of the Data Protection Act” (Tweede Kamer, vergaderjaar 2009-2010, 31 051, nr. 5, blz. 29.) www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 5 CEDPO recomienda los siguientes incentivos: • Cuando un tratamiento se encuentre en una lista de tratamientos sujetos a consulta previa ante la DPA, al responsable/encargado debería bastarles una simple notificación o menores formalidades cuando haya designado DPO. De hecho, incluso entre las operaciones de tratamiento más sensibles, algunos son rutinarios (por ejemplo, algunos de los usos de la biometría) y no debe ser objeto de consulta previa si la organización hubiera nombrado DPO, ya que este podría supervisar su ejecución y verificar si cumplen los requisitos de protección de datos. • Hacer del DPO la piedra angular en las reclamaciones sobre protección de datos a una organización. Esto reduciría aquellas basadas en malentendidos y el número de las que se tramitan ante las DPA. Cuando un titular de los datos tenga una reclamación primero debería tratar de conseguir que se resolviese a nivel de DPO antes que en los tribunales o DPA. Para ello sería necesario establecer un procedimiento y plazos de respuesta. • La Propuesta de Reglamento requiere que todas las quiebras de seguridad que se notifiquen a la DPA. Ello, teniendo en cuenta que inevitablemente la gran mayoría de las infracciones notificadas se refieren a incidentes menores, saturará a responsables, encargados y DPA. CEDPO entiende que en el futuro la Comisión establecerá ciertos criterios para diferenciar las infracciones leves, que no requieran notificación a la DPA. En tales casos, se debe permitir en las organizaciones con un DPO que asesore sobre la aplicación de estos criterios. b) Un umbral adecuado En cuanto al umbral de 250 empleados establecido en el artículo 35 apartado 1, letra (b), CEDPO considera necesaria una cláusula de apertura que permita a los Estados miembros establecer un umbral más bajo. Parece contraproducente elevar el umbral para la designación de un DPO en un país como Alemania, donde su uso ha sido un éxito. El número de personas empleadas es sólo uno de varios factores que pueden ser tomados en cuenta. Después de todo, los riesgos para los derechos y libertades de los interesados dependerán de las circunstancias de cada caso. En su manual de “Are You The Lucky One”, el NGFG sugiere dieciséis aspectos que deben tenerse en cuenta, que van desde la naturaleza de los datos al uso de determinados de tipos de datos, para determinar si es recomendable el consejo de un DPO. CEDPO cree que los límites que se establezcan deben tener en cuenta los riesgos que entraña el tratamiento. El artículo 35, apartado 1, letra (c) tiene en cuenta el factor de riesgo que presenta un tratamiento: el responsable y el Encargado del tratamiento designarán a un delegado de protección de datos siempre que las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados . Esta formulación es incompatible con el considerando 75 y el artículo 3.4.4.4. de la exposición de motivos. El considerando 75 se refiere a la supervisión de las operaciones de tratamiento, mientras que el artículo 35 se refiere simplemente a la vigilancia de los interesados. Esto supone una gran diferencia con respecto a la obligación de nombrar a un DPO. Cabe aclarar que el artículo 35 se aplica a las operaciones de riesgo. En consecuencia las traducciones nacionales deberían ser revisadas. CEDPO sugiere un texto que podría resolver este problema: El responsable o el encargado del tratamiento designarán a un delegado de protección de datos siempre que: … www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 6 (c) el tratamiento de datos personales, en particular, en virtud de su naturaleza, su alcance y / o su finalidad, sea de alto riesgo para la protección de datos personales o la intimidad del interesado. Con respecto a una posible obligación de nombrar a un DPO, CEDPO sugiere tener en cuenta los siguientes criterios basados en los riesgos que presenta la actividad. • Finalidad de las operaciones de tratamiento Puede atribuirse un potencial riesgo más alto a las empresas que comercialmente llevan a cabo un tratamiento automatizado de datos personales con el fin de comunicarlos a terceros y requieren el consentimiento de los titulares de los datos por un motivo legítimo (por ejemplo, listas para mailings). Lo mismo se aplica a las organizaciones que traten datos personales con fines de investigación de mercado o de opinión o para cualquier proceso que requiere evaluación de impacto en la protección de datos. Lo mismo podría aplicarse los tratamientos en los que se obtengan perfiles de los individuos que pudieran implicar riesgos específicos para los derechos y libertades de los interesados. • Sensibilidad de los datos o el tratamiento Naturalmente, la sensibilidad de los datos que están siendo procesados tiene que ser tomada en cuenta. Por ejemplo de acuerdo con la Ley Federal Alemana de Protección de Datos (BDSG), la obligación de nombrar a un DPO se aplica en todos los casos donde se requiere control previo (en el Reglamento, el Comité se remite a la "consulta"). Esto puede incluir el tratamiento de los datos sensibles de acuerdo con el artículo 8 (1) de la Directiva de la UE (95/46/CE) a menos que este tratamiento está obligado a cumplir con la legislación nacional o simplemente incidental. En cualquier caso, CEDPO cree que la evaluación de la utilidad de nombrar a un DPO debería ser parte de la evaluación del impacto en la protección de datos individual llevado a cabo por el responsable • Cantidad de datos objeto de tratamiento Las organizaciones que procesan grandes cantidades de datos personales son más propensas a padecer situaciones de riesgo para los derechos y libertades de los interesados que las que sólo tratan un mínimo de datos personales. En general, las organizaciones en las que el tratamiento de datos personales es una parte importante de su finalidad principal (por ejemplo, los proveedores de servicios de Internet o de telecomunicaciones) tienen un potencial de mayor riesgo, debido a las grandes cantidades de datos personales tratados. Lo mismo se aplica a las empresas que traten datos personales en nombre de sus clientes. CEDPO está de acuerdo con la Comisión de que los mecanismos de control interno son especialmente importantes "en los casos cada vez más comunes en donde los responsables delegan el tratamiento en otras entidades (por ejemplo, encargados)." Incluso si el responsable sigue siendo responsable en estos casos, es esencial tener un conocimiento la persona de contacto dentro del encargado. c) Cualificación del DPO Sólo los DPO que estén debidamente cualificados pueden realizar su importante trabajo correctamente. Un estudio de la Asociación Alemana de Protección de Datos y Seguridad de Datos (GDD), reveló los siguientes criterios: • un buen conocimiento de la ley de protección de datos • conocimiento de los estándares de tecnologías de la información www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 7 • capacidad para establecer una gestión adecuada de la protección de datos, basada en un conocimiento adecuado del modelo de negocio y un conocimiento específico de las estructuras internas de la compañía internos y de las operaciones de tratamiento. Los resultados del estudio han sido recientemente confirmados por DPA alemanas4. Basado en más de 30 años de experiencia, GDD ha desarrollado un programa educativo para profesionales de la protección de datos, incluyendo un programa de certificación de DPO (GDDcert). APEP también ofrece en España un programa de certificación específico, que es especialmente necesario en vista de la ausencia de un título oficial específico de DPO en los estudios oficiales vinculados al desarrollo del Plan de Bolonia. Con referencia al artículo 35.5 párrafo primero CEDPO recomienda la siguiente redacción sustituyendo el adjetivo "experto" por "adecuado" con la finalidad de abrir la posición del DPO de manera suficientemente amplia, más allá de las profesiones jurídicas: "El responsable o encargado designarán un delegado de protección de datos, sobre la base de las cualidades profesionales y, en particular, el conocimiento adecuado y la práctica de la ley de protección de datos y la capacidad para desempeñar las tareas mencionadas en el artículo 37." A fin de garantizar la cualificación necesaria del DPO, la regulación debe mencionar explícitamente la obligación del responsable y del encargado de permitir y financiar una formación adecuada (incluida la formación continua) del DPO. La Comisión estará facultada para adoptar, de conformidad con el artículo 87 los criterios de las cualidades profesionales DPO. Las organizaciones miembros CEDPO tienen experiencia en la formación de DPO en sus respectivos países. CEDPO por lo tanto, daría la bienvenida a la oportunidad de asistir a la Comisión en la determinación de tales criterios. d) Designación del DPO Tanto las DPO internos como externos, pueden realizar su trabajo correctamente, siempre y cuando estén debidamente cualificados, familiarizados con las estructuras internas y las operaciones de tratamiento del responsable o encargado, y lo suficientemente disponibles para ser consultados por ellos o sus empleados CEDPO acoge favorablemente la propuesta que permite la posibilidad de que un solo DPO pueda estar a cargo de un grupo de empresas. La función de DPO de grupo puede mejorar la eficacia y la armonización de las prácticas de protección de datos en el grupo empresarial. En tales casos, el DPO, naturalmente, necesita ayuda local. En este contexto, la regulación debe confirmar la aplicación del artículo 36 párrafo 3, según la cual el responsable o encargado deberán proporcionar los recursos necesarios, incluido el personal. Dependiendo de la estructura del grupo estos recursos pueden ser proporcionados por el grupo, por cada empresa o a través de un equipo o comité de protección de datos o el. La designación de un DPO único para un grupo de empresas plantea varias cuestiones, en particular, con respecto a la proximidad con los usuarios que tratan datos al lenguaje, la cultura de protección de datos, y el conocimiento de las decisiones del DPO (por ejemplo, en casos de consulta previa o de quiebras de seguridad). CEDPO tendrá en cuenta los aspectos de aplicación práctica y puede proporcionar más comentarios al respecto. 4 Düsseldorfer Kreises, Beschluss vom 24./ 25. November 2010 www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 8 e) Fin del mandato CEDPO piensa que la creación de un período mínimo de la designación en el artículo 35, párrafo 7 puede poner a la independencia del DPO en situación de riesgo. Si las DPO que dependen de la buena voluntad de responsables y encargados cuando finalice su mandato de dos años, es evidente que ello podría interferir en su independencia. Ellos podrían tener la tentación de recibir instrucciones del responsable o del encargado, a pesar de que se supone que no debe hacerlo de acuerdo con el artículo 36, apartado 2. Por lo tanto, CEDPO piensa que el Reglamento no debe abordar la cuestión de la duración del mandato del DPO. Sin embargo, los DPO, y en especial los internos, deben estar provistos de protección contra el despido injusto para garantizar su independencia. El responsable/encargado debe proporcionar a la DPA el nombre y datos de contacto de DPO5. El Reglamento también podría establecer deber de informar a la DPA en caso de finalización del mandato por iniciativa del responsable o del encargado. Los DPO deberían poder solicitar de la DPA que requieran al responsable o al encargado información sobre el despido. En caso de que el DPO desempeñase alguna otra función, esta solicitud sólo podrá hacerse cuando las causas de terminación se basen en el hecho de que la persona ya no reúna las condiciones necesarias para el desempeño de sus funciones6. Deberían establecerse sanciones en caso de que el responsable o encargado no informasen a la DPA. 3. Funciones del DPO CEDPO da la bienvenida a la descripción de las tareas del DPO en el artículo 37, pero cree que sería importante agregar una declaración general, ya sea antes de la lista de tareas o al comienzo de la sección 4 para especificar el papel general DPO: monitorizar con el fin de asesorar a la organización en el cumplimiento de las normas de protección de datos. Esta declaración también debe especificar que el nombramiento de un delegado de protección de datos no exime al responsable o al encargado del cumplimiento de sus obligaciones. Esto proporcionaría una mayor seguridad jurídica y una mejor armonización de las tareas del DPO en los Estados miembros. La redacción utilizada en la propuesta (informar, asesorar, supervisar, asegurar, actuar como punto de contacto para DPA) caracteriza las funciones de asesoría y supervisión del DPO. Esto implica que el DPO no es quien toma las decisiones. Es el responsable o encargado siguen siendo responsables de la rendición de cuentas y a los que será exigible en primer lugar la responsabilidad legal. En este contexto, el verbo "garantizar“ del artículo 37 apartado 1, letra (d) podría ser sustituido por el verbo 'monitorizar' o 'supervisar'. Después de todo, el artículo 29 atributos del deber de mantener la documentación al responsable/encargado. A ellos corresponde implementar el cumplimiento de este deber y no la persona que supervisa la aplicación. Además, el papel de la gestión proactiva DPO no resulta suficientemente reflejada. En la práctica, los DPO no sólo se encargan de monitorizar el cumplimiento interno de la legislación sobre protección de datos. También cooperan en el desarrollo de la configuración de las políticas internas de protección de datos (por ejemplo, de acuerdo con el artículo 22, párrafo 1), se involucran en la elaboración y el establecimiento de normas corporativas vinculantes (BCR), y se les pide que revisen los contratos de protección de datos. Asimismo, el papel estratégico del DPO debe mencionarse 5 Article 35 paragraph 1 6 Article 35 paragraph 7 www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 9 explícitamente en el reglamento, ya que contribuye considerablemente a ponerlo en valor en beneficio de todas las partes involucradas, especialmente los titulares de los datos y los propios responsables o encargados. Por lo tanto, CEDPO recomienda añadir un nuevo punto (a) del artículo 37, que podría tener la siguiente redacción: "Asesorar al responsable de datos o al encargado de la relación con la estrategia de protección de datos en general; ' 4. Posición del DPO a) Participación y acceso a los recursos CEDPO da la bienvenida explícitamente al deber del responsable o del encargado de asegurar una participación adecuada y oportuna del DPO de acuerdo con el Artículo 36 párrafo 1. Esto permite que el DPO pueda desempeñar con eficacia un papel activo en beneficio de todas las partes involucradas (ver más arriba 3.). De acuerdo con el Artículo 79 párrafo 6 letra (j) la autoridad de control impondrá una multa de entre 1.000 euros y 1.000.000 euros o, en caso de una empresa el 2% de su facturación anual a nivel mundial, a cualquier persona que, intencionalmente o negligentemente no designe un responsable de protección de datos o no asegure las condiciones para el cumplimiento de sus tareas de conformidad con los Artículos 35, 36 y 37. Con el fin de garantizar la seguridad jurídica, se debe aclarar que las sanciones administrativas también pueden ser impuestas, si el DPO no es adecuada y oportunamente informado acerca de los problemas de protección de datos del responsable o del encargado. Además, el DPO debe ser requerido en el marco de la evaluación sobre el cumplimiento por el responsable o el encargado de la obligación a la que se refiere el párrafo primero del artículo 36. El Reglamento debe prever con mayor precisión por un derecho del DPO de obtener acceso en el debido plazo a la información, al tratamiento de datos y las personas necesarias para el ejercicio de su misión. b) Línea directa de información CEDPO también acoge con satisfacción la línea de información directa prevista en el Artículo 36 párrafo 2, pero con fines de aclaración recomienda sustituir el término “informe a la dirección”· por “informe a la más alta representación del responsable o encargado7”. En el caso de las entidades privadas que podrían ser al menos un miembro del consejo de dirección/administración o de la dirección ejecutiva. Debe atribuirse al DPO un estatuto adecuado y visibilidad dentro de la organización del responsable o del encargado con el fin de tener su papel reconocido por los usuarios de los sistemas. 7 N. Del T. Traducción literal del original, como puede apreciarse en la siguiente frase se refiere a persona con poderes en el Consejo de Admon. www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 10 c) Estatus Independiente aa) El requisito de la formación CEDPO da la bienvenida a la obligación del responsable o del encargado de apoyar las tareas del DPO de acuerdo con el artículo 36, apartado 3. Con respecto a la calificación del DPO el responsable debería tener la obligación de permitir el acceso a una formación adecuada, incluida la formación continua. Puesto que los requisitos tecnológicos y jurídicos y las organizaciones evolucionan el mantenimiento y puesta al día del conocimiento es esencial en la protección efectiva de los datos personales. En consecuencia CEDPO recomienda la siguiente redacción: “El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos, la formación continua y cualesquiera otros recursos necesarios para el desempeño de las bb) Confidencialidad Disponer de una cláusula de confidencialidad es importante tanto para los interesados o titulares de los datos, como para los responsables o encargados. Por ejemplo, cuando el DPO lleva a cabo una investigación en áreas sensibles tales como las concretas medidas de seguridad y/o sobre datos sensibles, dicha información debe mantenerse bajo la máxima confidencialidad. La Ley de Protección de Datos en los Países Bajos, por ejemplo, proporciona una protección en estos casos a través de una disposición específica de confidencialidad.8 5. Derecho a ponerse en contacto con el DPO Los interesados tienen garantizado el derecho a la cancelación, acceso y rectificación, y el derecho a ser informados sobre las quiebras de seguridad. En este apartado, CEDPO entiende problemático el “derecho” atribuido a los interesados de contactar con los DPO a que se refiere el Artículo 35, párrafo 10. En primer lugar, el término “derecho” no es apropiado. De la posibilidad de contactar a los DPO no se puede hacer un “derecho” al mismo nivel que los derechos mencionados anteriormente, esta es una posibilidad ofrecida al afectado. Existen situaciones en las que el DPO será prácticamente incapaz de cumplir con el deber de proveer un derecho incondicional a ser contactado. Cuando el responsable o el encargado no proporcionen recursos apropiados para hacer frente a numerosos contactos de los interesados, o después de un fallo de seguridad, los DPO podrían incumplir esta obligación. En segundo lugar, el DPO tiene funciones consultivas y de seguimiento, no le corresponde llevar a cabo las tareas a las que se refiere el artículo 37 que pertenecen al responsable. En los casos en que deban facilitarse respuestas en nombre de la organización el DPO no se encuentra en posición de ser persona de contacto y representar al responsable o al encargado. La mayoría de las solicitudes hoy en día están adecuadamente llevadas a cabo por servicios de asistencia, tales como los departamentos de las relaciones con consumidores o el departamento de Recursos Humanos, a fin de que el DPO pueda centrar su atención en las cuestiones que marcan la diferencia en términos de cumplimiento con la protección de datos personales por la organización. Por ejemplo, en los Países Bajos, donde los agentes de la privacidad son designados junto con el DPO, estos funcionarios 8 Wet bescherming persoonsgegevens Article 63 point 4. www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 11 desempeñan un importante papel de apoyo al DPO9. Los interesados se reservan la posibilidad de ponerse en contacto con los DPO, por ejemplo, en los casos de solicitudes de protección de datos que no pueden ser abordados por las personas delegadas. Sin embargo, el contacto directo con los interesados no debe ser desproporcionado, en la medida en que los DPO no puedan razonablemente llevar a cabo sus otras tareas importantes. En tercer lugar, el Artículo 35, párrafo 10, parece redundante y asistemático. Visto el Artículo 37 punto (c), se presume que los DPO puedan tener contacto directo con los interesados. Además, el Artículo 35 establece las reglas para la designación de un DPO, y no regula los derechos de los interesados. CEDPO recomendaría la supresión del Artículo 35 de la Propuesta de Reglamento. IV. UNA MAYOR REDUCCIÓN DE LAS CARGAS ADMINISTRATIVAS INNECESARIAS La reducción de las cargas administrativas innecesarias y la mejora de las condiciones de responsabilidad y rendición de cuentas de los responsables y encargados de datos pertenecen a los objetivos más importantes de la Comisión. Este enfoque es bienvenido por CEDPO. Sin embargo, desde el punto de vista de CEDPO, es cuestionable si la propuesta de la Comisión explota todo el potencial con el fin de lograr estos objetivos. La superposición de responsabilidades debe ser evitada. Dónde se nombra DPO, el seguimiento de la ejecución y aplicación de la normativa dentro de la organización, se ubican adecuadamente. A pesar de ello, las DPA todavía tendrían que ser consultadas con antelación en todos y cada uno de los casos en los que se crea que puedan existir riesgos específicos como los vinculados a determinadas operaciones de tratamiento (artículo 34, apartado 2, letra b). Dependiendo del resultado de la evaluación del impacto de la protección de datos, las DPA también deberían ser consultadas en otros casos (artículo 34, apartado 2, letra a). Independientemente de la cuestión de si las DPA dispondrían de recursos suficientes para responder adecuadamente a los responsables o encargados, este tipo de procedimiento no se alinea totalmente con los objetivos previamente expresados por la Comisión. Por lo tanto, cuando haya sido designado un DPO, podría merecer la pena explorar la posibilidad de reemplazar la consulta formal a la DPA por una obligación de mera información sobre las operaciones de tratamiento que entrañen riesgos específicos. De esta manera, los responsables serían capaces de ejecutar las operaciones de tratamiento sin dilaciones indebidas ni cargas administrativas innecesarias. Las DPA permanecen en una fuerte posición de supervisión, porque por lo general tienen el derecho de vigilar la aplicación de la regulación sobre la base de la documentación prescrita por el Artículo 28. La obligación de consultar formalmente al DPA sólo se aplicaría en caso de duda 9 En referencia al Explanatory Memorandum to the Police Data Act, House of Representatives, 2005-2006, 30 327, No. 3, p 92, Los Países Bajos: los funcionarios de privacidad llevar adelante algunas de las tareas. Por ejemplo, apoyan a la organización (la policía), en el control y seguimiento del tratamiento de los datos, así como sobre el acceso de los interesados y la corrección de los datos. www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation CEDPO: [email protected] 12 Consideración final. Si los puntos específicos planteados en este documento a su juicio requieren discusión, no duden en contactar con CEDPO. CEDPO estaría encantado de compartir su experiencia y su saber hacer en el futuro. Juntos nos esforzamos por lograr un objetivo común: la protección equilibrada y eficaz de los datos personales. www.cedpo.eu CEDPO First Position Paper on the Proposed General Data Protection Regulation