(CEDPO) sobre la propuesta de la

Anuncio
TRADUCCIÓN NO OFICIAL1
PRIMERA TOMA DE POSICIÓN
de la Confederación de Organizaciones Europeas de Protección de Datos
(CEDPO) sobre la propuesta de la Comisión Europea para una propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos
(Reglamento general de protección de datos)
COM(2012) 11/04
France
1
Germany
Véase el documento original en http://bit.ly/HeeUpi.
Spain
Netherlands
CEDPO: [email protected] 2
I. INTRODUCCIÓN
La Confederación de Organizaciones Europeas de Protección de Datos (CEDPO) fue fundada en 2011.
Los miembros fundadores de CEDPO son los siguientes:
AFCDP – Association Française des Correspondants à la Protection des Données à Caractère Personnel
APEP – Asociación Profesional Española de Privacidad
GDD – Gesellschaft für Datenschutz und Datensicherheit
NGFG – Nederlands Genootschap van Functionarissen voor de Gegevensbescherming
Las organizaciones mencionadas representan conjuntamente los intereses de las organizaciones de
profesionales de la protección de datos y oficiales de privacidad del sector público y privado de los
cuatro Estados miembros de la UE en los que desarrollan su actividad.
El objetivo principal de CEDPO es promover el importante papel del delegado de protección de datos
(DPO), para una aplicación de la legislación sobre protección de datos equilibrada, práctica y eficaz.
Además, CEDPO pretende contribuir a una mejor armonización de la legislación y de las prácticas de
protección de datos en la Unión Europea y el Espacio Económico Europeo. Con base en las
experiencias obtenidas y compartidas por las organizaciones nacionales de protección de datos, la
Confederación tiene previsto iniciar y mantener una comunicación constructiva con las instituciones
europeas competentes. La armonización de las prácticas de protección de datos también se logrará
gracias a la interacción entre los miembros de las diferentes asociaciones nacionales.
CEDPO ha publicado un estudio comparativo de las leyes aplicables a los DPO en 14 países diferentes,
que constituye un documento útil para considerar el futuro del Reglamento (DPO). Este documento
está disponible en el sitio web CEDPO en www.cedpo.eu.
CEDPO quisiera aprovechar la oportunidad de comentar la propuesta de la Comisión, en general, y en
particular sobre el papel y la posición del DPO, a través de este primer documento con una primera
toma de posición. CEDPO planteará más detalles sobre otros aspectos de la propuesta en su
momento.
II. COMENTARIOS GENERALES SOBRE LA PROPUESTA DE LA COMISIÓN
CEDPO acoge favorablemente la iniciativa de la Comisión de armonizar y modernizar el marco
jurídico de protección de datos en la UE. CEDPO considera que esto es esencial para reducir las
cargas administrativas que gravan a encargados y responsables. Sin embargo, creemos que la
propuesta de la Comisión no explota todo el potencial de simplificación administrativa (véase más
adelante el punto IV).
CEDPO comparte la opinión de la Comisión según la cual la simplificación administrativa no debe
conducir a una reducción general de la responsabilidad de los responsables y de los encargados del
tratamiento para garantizar una protección de datos efectiva. En este sentido, las previsiones sobre
el fortalecimiento y la armonización la función y la posición del delegado de protección de datos
(DPO), cumple con las expectativas de CEDPO ya que esta constituye una medida importante a fin
de intensificar el cumplimiento interno.
Es esencial un enfoque armonizado que proporcione una regulación de protección de datos que sea
a la vez, eficaz y económicamente razonable, este enfoque debe ser coherente y no debe ser
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 3
socavado. El Reglamento propuesto debe garantizar la seguridad jurídica. Esto incluye una aplicación
uniforme de la nueva legislación de protección de datos en los Estados miembros. En este sentido
CEDPO está preocupado por el artículo 34, apartado 2, letra (b), permitiría a las autoridades
nacionales de protección determinar los tratamientos que son objeto de consulta previa. A pesar de
que las autoridades nacionales de protección se supone que deben comunicar sus conclusiones al
Consejo Europeo de Protección de Datos de acuerdo con el artículo 34, párrafo 4, esto puede dar una
vez más lugar a diferentes enfoques de los Estados miembros. Esto iría en detrimento de los
objetivos de la Comisión, especialmente con respecto a los responsables y encargados que se han
establecido en varios Estados miembros.
La propuesta contiene un buen número de aspectos que facultan a la Comisión para adoptar actos
delegados de conformidad con el artículo 87, con el fin de especificar con mayor precisión ciertos
requisitos de protección de datos (por ejemplo, el art. 35 párrafo 11, relativa a la designación y
calificación de los DPO). El ejercicio de la delegación incluye ciertos derechos del Parlamento
Europeo y al Consejo. De acuerdo con la Comunicación COM (2012) 9 final, la Comisión también
mantendrá un diálogo estrecho y transparente con todas las partes interesadas en el que participen
representantes del sector privado y público, a lo largo del proceso de adopción y con posterioridad a
al mismo, especialmente en el contexto de la aplicación de nuevos instrumentos jurídicos. CEDPO se
complace en proporcionar información a la Comisión, por ejemplo, en lo relativo a la especificación
de criterios y requisitos para ordenar las actividades básicas de responsable y encargado a que se
refiere el artículo 35, apartado 1, letra (c) y a los criterios para determinar las cualidades
profesionales de los DPO a que se refiere el artículo 35, apartado 5.
III. EL PAPEL Y LA POSICIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)
1. Situación actual
Tanto la Comisión Europea (Informe COM (2003) 265 final, pág. 18 y 24) y el Grupo del artículo 29
(WP 106, p.22 y 23) han recomendado la designación de los DPO. Además, la importante y creciente
papel de los DPO ha sido reconocido a nivel mundial en la "Resolución de Madrid" en los estándares
internacionales de privacidad aprobados por las autoridades de protección de datos de más de 50
países en la 31 ª Conferencia Internacional de Comisionados de protección de datos en 2009. Uno de
los capítulos más relevantes del documento es el que hace referencia a las medidas proactivas. Se
incluye la recomendación de nombrar oficiales de protección de datos o privacidad, con la debida
cualificación, recursos y facultades para el adecuado ejercicio de sus funciones de supervisión.
Alemania ha tenido una experiencia positiva con el DPO en los últimos 30 años y estos profesionales
son cada vez más aceptados por los Estados miembros como Francia y los Países Bajos. En España,
donde el papel DPO no es obligatorio, excepto en lo relativo a la designación de un responsable de
seguridad a partir del nivel medio en la regulación de las medidas de seguridad, se ha hecho evidente
- al menos para las grandes empresas - que este papel es indispensable. En estructuras complejas, el
papel del DPO se está desarrollando desde una función de mero cumplimiento a una posición cada
vez más estratégica. En los Países Bajos, donde nombrar un o una DPO no es obligatorio, el NGFG ha
desarrollado una lista de comprobación para ayudar a las organizaciones decidir si procede o no esta
designación2.
2
NGFG. (2008, April). Am I the Lucky One. Den Haag, the Netherlands.
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 4
2. Designación del DPO (Artículo 35)
a) Introducir incentivos
En general, el reconocimiento del DPO en el artículo 35 a 37 de la propuesta es muy bienvenida por
CEDPO.
Sin embargo, el Reglamento debería establecer incentivos en favor de la designación de DPO por
responsables y encargados. Sería la medida más aceptada en los casos en que el nombramiento es
preceptivo sin perjuicio de promover el nombramiento de DPO en otros casos.
Nombrar DPO tiene grandes ventajas para los interesados, los responsables y encargados y para las
autoridades de protección de datos (DPA). Esto se refleja, básicamente, por el artículo 4 del Capítulo
IV de la propuesta. Un estudio independiente encargado por el Ministerio de Justicia holandés
descubrió que las organizaciones que han nombrado un DPO tienen un mayor grado de
concienciación en la observancia y el conocimiento de la legislación3. CEDPO considera que los
considerandos del Reglamento deben hacer hincapié en las ventajas de la designación de un DPO y
subrayar su papel central para el cumplimiento, especialmente a la luz de las nuevas obligaciones de
los responsables y encargados destinados a conseguir una protección de datos más eficaz, como la
necesidad las evaluaciones de impacto de protección de datos, la notificación de quiebras de
seguridad, la privacidad por defecto, y la formación del personal. Cuando se refiere a la promoción
de la protección efectiva de los datos como una ventaja competitiva, la Comisión debería mencionar
el DPO. Cabe destacar que en muchos casos los DPO son buenos para los negocios. Disponer de un
delegado de protección de datos competente y cualificado no es sólo una primera señal tangible de
hacer efectivo el principio de responsabilidad y rendición de cuentas, sino también un factor de
imagen positiva que ayuda a crear confianza.
CEDPO está de acuerdo con la Comisión sobre la necesidad de evitar cargas administrativas
innecesarias, sobre todo PYME. Sin embargo, esto no debe conducir a la conclusión de que las
organizaciones más pequeñas no podrían beneficiarse por el nombramiento de un DPO. Por
ejemplo, una pequeña start-up en el sector de información y la comunicación, puede muy bien
beneficiarse de disponer del delegado de protección de datos como una ventaja competitiva. En
cuanto a los recursos, si tenemos en cuenta el régimen de responsabilidad y las sanciones que se
describen en el Capítulo VIII de la Propuesta, el nombramiento de un DPO puede ser una medida
preventiva muy útil que, de hecho, no sólo ahorría dinero a los responsables y encargados, sino que
también proporcionaría un mayor control sobre los riesgos reputacionales. Los y las DPO pueden
contribuir a hacer que la información personal sea un activo valioso y no una fuente de
preocupaciones. Por estas razones, la Comisión debe hacer hincapié en que también las empresas
que no tengan la obligación legal de nombrar a un DPO pueden reducir considerablemente estos
riesgos y mejorar su negocio haciendo esta posibilidad opcional.
El Reglamento debería prever incentivos para que los responsables y encargados que no estando
obligados a ello designen un DPO obtengan ventajas de los Estados miembros (por ej. en impuestos
u otras cargas).
Brouwer-Korf, A. (2009). Rapport 'Gewoon Doen, beschermen van veiligheid en persoonlijke levenssfeer'. Den
Haag, the Netherlands.
3
Pro Facto (2008) H.B. Winter et. al Wat niet weet, wat niet deert: Een evaluatieonderzoek naar de werking van
de Wet bescherming persoonsgegevens in de praktijk
Conclusion reached by the Second Chamber based on the research, “Evaluation of the Data Protection Act”
(Tweede Kamer, vergaderjaar 2009-2010, 31 051, nr. 5, blz. 29.)
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 5
CEDPO recomienda los siguientes incentivos:
•
Cuando un tratamiento se encuentre en una lista de tratamientos sujetos a consulta previa
ante la DPA, al responsable/encargado debería bastarles una simple notificación o menores
formalidades cuando haya designado DPO. De hecho, incluso entre las operaciones de
tratamiento más sensibles, algunos son rutinarios (por ejemplo, algunos de los usos de la
biometría) y no debe ser objeto de consulta previa si la organización hubiera nombrado DPO,
ya que este podría supervisar su ejecución y verificar si cumplen los requisitos de protección
de datos.
•
Hacer del DPO la piedra angular en las reclamaciones sobre protección de datos a una
organización. Esto reduciría aquellas basadas en malentendidos y el número de las que se
tramitan ante las DPA. Cuando un titular de los datos tenga una reclamación primero debería
tratar de conseguir que se resolviese a nivel de DPO antes que en los tribunales o DPA. Para
ello sería necesario establecer un procedimiento y plazos de respuesta.
•
La Propuesta de Reglamento requiere que todas las quiebras de seguridad que se notifiquen a
la DPA. Ello, teniendo en cuenta que inevitablemente la gran mayoría de las infracciones
notificadas se refieren a incidentes menores, saturará a responsables, encargados y DPA.
CEDPO entiende que en el futuro la Comisión establecerá ciertos criterios para diferenciar las
infracciones leves, que no requieran notificación a la DPA. En tales casos, se debe permitir en
las organizaciones con un DPO que asesore sobre la aplicación de estos criterios.
b) Un umbral adecuado
En cuanto al umbral de 250 empleados establecido en el artículo 35 apartado 1, letra (b), CEDPO
considera necesaria una cláusula de apertura que permita a los Estados miembros establecer un
umbral más bajo. Parece contraproducente elevar el umbral para la designación de un DPO en un
país como Alemania, donde su uso ha sido un éxito.
El número de personas empleadas es sólo uno de varios factores que pueden ser tomados en cuenta.
Después de todo, los riesgos para los derechos y libertades de los interesados dependerán de las
circunstancias de cada caso. En su manual de “Are You The Lucky One”, el NGFG sugiere dieciséis
aspectos que deben tenerse en cuenta, que van desde la naturaleza de los datos al uso de
determinados de tipos de datos, para determinar si es recomendable el consejo de un DPO. CEDPO
cree que los límites que se establezcan deben tener en cuenta los riesgos que entraña el tratamiento.
El artículo 35, apartado 1, letra (c) tiene en cuenta el factor de riesgo que presenta un tratamiento: el
responsable y el Encargado del tratamiento designarán a un delegado de protección de datos
siempre que las actividades principales del responsable o del encargado del tratamiento consistan
en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un
seguimiento periódico y sistemático de los interesados . Esta formulación es incompatible con el
considerando 75 y el artículo 3.4.4.4. de la exposición de motivos. El considerando 75 se refiere a la
supervisión de las operaciones de tratamiento, mientras que el artículo 35 se refiere simplemente a
la vigilancia de los interesados. Esto supone una gran diferencia con respecto a la obligación de
nombrar a un DPO. Cabe aclarar que el artículo 35 se aplica a las operaciones de riesgo. En
consecuencia las traducciones nacionales deberían ser revisadas. CEDPO sugiere un texto que podría
resolver este problema:
El responsable o el encargado del tratamiento designarán a un delegado de protección de datos
siempre que:
…
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 6
(c) el tratamiento de datos personales, en particular, en virtud de su naturaleza, su alcance y / o su
finalidad, sea de alto riesgo para la protección de datos personales o la intimidad del interesado.
Con respecto a una posible obligación de nombrar a un DPO, CEDPO sugiere tener en cuenta los
siguientes criterios basados en los riesgos que presenta la actividad.
•
Finalidad de las operaciones de tratamiento
Puede atribuirse un potencial riesgo más alto a las empresas que comercialmente llevan a cabo un
tratamiento automatizado de datos personales con el fin de comunicarlos a terceros y requieren el
consentimiento de los titulares de los datos por un motivo legítimo (por ejemplo, listas para
mailings). Lo mismo se aplica a las organizaciones que traten datos personales con fines de
investigación de mercado o de opinión o para cualquier proceso que requiere evaluación de impacto
en la protección de datos. Lo mismo podría aplicarse los tratamientos en los que se obtengan perfiles
de los individuos que pudieran implicar riesgos específicos para los derechos y libertades de los
interesados.
•
Sensibilidad de los datos o el tratamiento
Naturalmente, la sensibilidad de los datos que están siendo procesados tiene que ser tomada en
cuenta. Por ejemplo de acuerdo con la Ley Federal Alemana de Protección de Datos (BDSG), la
obligación de nombrar a un DPO se aplica en todos los casos donde se requiere control previo (en el
Reglamento, el Comité se remite a la "consulta"). Esto puede incluir el tratamiento de los datos
sensibles de acuerdo con el artículo 8 (1) de la Directiva de la UE (95/46/CE) a menos que este
tratamiento está obligado a cumplir con la legislación nacional o simplemente incidental. En
cualquier caso, CEDPO cree que la evaluación de la utilidad de nombrar a un DPO debería ser parte
de la evaluación del impacto en la protección de datos individual llevado a cabo por el responsable
•
Cantidad de datos objeto de tratamiento
Las organizaciones que procesan grandes cantidades de datos personales son más propensas a
padecer situaciones de riesgo para los derechos y libertades de los interesados que las que sólo
tratan un mínimo de datos personales. En general, las organizaciones en las que el tratamiento de
datos personales es una parte importante de su finalidad principal (por ejemplo, los proveedores de
servicios de Internet o de telecomunicaciones) tienen un potencial de mayor riesgo, debido a las
grandes cantidades de datos personales tratados.
Lo mismo se aplica a las empresas que traten datos personales en nombre de sus clientes. CEDPO
está de acuerdo con la Comisión de que los mecanismos de control interno son especialmente
importantes "en los casos cada vez más comunes en donde los responsables delegan el tratamiento
en otras entidades (por ejemplo, encargados)." Incluso si el responsable sigue siendo responsable en
estos casos, es esencial tener un conocimiento la persona de contacto dentro del encargado.
c) Cualificación del DPO
Sólo los DPO que estén debidamente cualificados pueden realizar su importante trabajo
correctamente.
Un estudio de la Asociación Alemana de Protección de Datos y Seguridad de Datos (GDD), reveló los
siguientes criterios:
• un buen conocimiento de la ley de protección de datos
• conocimiento de los estándares de tecnologías de la información
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 7
• capacidad para establecer una gestión adecuada de la protección de datos, basada en un
conocimiento adecuado del modelo de negocio y un conocimiento específico de las
estructuras internas de la compañía internos y de las operaciones de tratamiento.
Los resultados del estudio han sido recientemente confirmados por DPA alemanas4. Basado en más
de 30 años de experiencia, GDD ha desarrollado un programa educativo para profesionales de la
protección de datos, incluyendo un programa de certificación de DPO (GDDcert). APEP también
ofrece en España un programa de certificación específico, que es especialmente necesario en vista de
la ausencia de un título oficial específico de DPO en los estudios oficiales vinculados al desarrollo del
Plan de Bolonia.
Con referencia al artículo 35.5 párrafo primero CEDPO recomienda la siguiente redacción
sustituyendo el adjetivo "experto" por "adecuado" con la finalidad de abrir la posición del DPO de
manera suficientemente amplia, más allá de las profesiones jurídicas:
"El responsable o encargado designarán un delegado de protección de datos, sobre la base de las
cualidades profesionales y, en particular, el conocimiento adecuado y la práctica de la ley de
protección de datos y la capacidad para desempeñar las tareas mencionadas en el artículo 37."
A fin de garantizar la cualificación necesaria del DPO, la regulación debe mencionar explícitamente la
obligación del responsable y del encargado de permitir y financiar una formación adecuada (incluida
la formación continua) del DPO. La Comisión estará facultada para adoptar, de conformidad con el
artículo 87 los criterios de las cualidades profesionales DPO.
Las organizaciones miembros CEDPO tienen experiencia en la formación de DPO en sus respectivos
países. CEDPO por lo tanto, daría la bienvenida a la oportunidad de asistir a la Comisión en la
determinación de tales criterios.
d) Designación del DPO
Tanto las DPO internos como externos, pueden realizar su trabajo correctamente, siempre y cuando
estén debidamente cualificados, familiarizados con las estructuras internas y las operaciones de
tratamiento del responsable o encargado, y lo suficientemente disponibles para ser consultados por
ellos o sus empleados
CEDPO acoge favorablemente la propuesta que permite la posibilidad de que un solo DPO pueda
estar a cargo de un grupo de empresas. La función de DPO de grupo puede mejorar la eficacia y la
armonización de las prácticas de protección de datos en el grupo empresarial. En tales casos, el DPO,
naturalmente, necesita ayuda local. En este contexto, la regulación debe confirmar la aplicación del
artículo 36 párrafo 3, según la cual el responsable o encargado deberán proporcionar los recursos
necesarios, incluido el personal. Dependiendo de la estructura del grupo estos recursos pueden ser
proporcionados por el grupo, por cada empresa o a través de un equipo o comité de protección de
datos o el. La designación de un DPO único para un grupo de empresas plantea varias cuestiones, en
particular, con respecto a la proximidad con los usuarios que tratan datos al lenguaje, la cultura de
protección de datos, y el conocimiento de las decisiones del DPO (por ejemplo, en casos de consulta
previa o de quiebras de seguridad). CEDPO tendrá en cuenta los aspectos de aplicación práctica y
puede proporcionar más comentarios al respecto.
4
Düsseldorfer Kreises, Beschluss vom 24./ 25. November 2010
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 8
e) Fin del mandato
CEDPO piensa que la creación de un período mínimo de la designación en el artículo 35, párrafo 7
puede poner a la independencia del DPO en situación de riesgo.
Si las DPO que dependen de la buena voluntad de responsables y encargados cuando finalice su
mandato de dos años, es evidente que ello podría interferir en su independencia. Ellos podrían tener
la tentación de recibir instrucciones del responsable o del encargado, a pesar de que se supone que
no debe hacerlo de acuerdo con el artículo 36, apartado 2.
Por lo tanto, CEDPO piensa que el Reglamento no debe abordar la cuestión de la duración del
mandato del DPO. Sin embargo, los DPO, y en especial los internos, deben estar provistos de
protección contra el despido injusto para garantizar su independencia. El responsable/encargado
debe proporcionar a la DPA el nombre y datos de contacto de DPO5. El Reglamento también podría
establecer deber de informar a la DPA en caso de finalización del mandato por iniciativa del
responsable o del encargado. Los DPO deberían poder solicitar de la DPA que requieran al
responsable o al encargado información sobre el despido. En caso de que el DPO desempeñase
alguna otra función, esta solicitud sólo podrá hacerse cuando las causas de terminación se basen en
el hecho de que la persona ya no reúna las condiciones necesarias para el desempeño de sus
funciones6. Deberían establecerse sanciones en caso de que el responsable o encargado no
informasen a la DPA.
3. Funciones del DPO
CEDPO da la bienvenida a la descripción de las tareas del DPO en el artículo 37, pero cree que sería
importante agregar una declaración general, ya sea antes de la lista de tareas o al comienzo de la
sección 4 para especificar el papel general DPO: monitorizar con el fin de asesorar a la organización
en el cumplimiento de las normas de protección de datos. Esta declaración también debe especificar
que el nombramiento de un delegado de protección de datos no exime al responsable o al
encargado del cumplimiento de sus obligaciones.
Esto proporcionaría una mayor seguridad jurídica y una mejor armonización de las tareas del DPO en
los Estados miembros.
La redacción utilizada en la propuesta (informar, asesorar, supervisar, asegurar, actuar como punto
de contacto para DPA) caracteriza las funciones de asesoría y supervisión del DPO. Esto implica que
el DPO no es quien toma las decisiones. Es el responsable o encargado siguen siendo responsables de
la rendición de cuentas y a los que será exigible en primer lugar la responsabilidad legal. En este
contexto, el verbo "garantizar“ del artículo 37 apartado 1, letra (d) podría ser sustituido por el verbo
'monitorizar' o 'supervisar'. Después de todo, el artículo 29 atributos del deber de mantener la
documentación al responsable/encargado. A ellos corresponde implementar el cumplimiento de
este deber y no la persona que supervisa la aplicación.
Además, el papel de la gestión proactiva DPO no resulta suficientemente reflejada. En la práctica,
los DPO no sólo se encargan de monitorizar el cumplimiento interno de la legislación sobre
protección de datos. También cooperan en el desarrollo de la configuración de las políticas internas
de protección de datos (por ejemplo, de acuerdo con el artículo 22, párrafo 1), se involucran en la
elaboración y el establecimiento de normas corporativas vinculantes (BCR), y se les pide que revisen
los contratos de protección de datos. Asimismo, el papel estratégico del DPO debe mencionarse
5
Article 35 paragraph 1
6
Article 35 paragraph 7
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 9
explícitamente en el reglamento, ya que contribuye considerablemente a ponerlo en valor en
beneficio de todas las partes involucradas, especialmente los titulares de los datos y los propios
responsables o encargados. Por lo tanto, CEDPO recomienda añadir un nuevo punto (a) del artículo
37, que podría tener la siguiente redacción:
"Asesorar al responsable de datos o al encargado de la relación con la estrategia de protección de
datos en general; '
4. Posición del DPO
a) Participación y acceso a los recursos
CEDPO da la bienvenida explícitamente al deber del responsable o del encargado de asegurar una
participación adecuada y oportuna del DPO de acuerdo con el Artículo 36 párrafo 1.
Esto permite que el DPO pueda desempeñar con eficacia un papel activo en beneficio de todas las
partes involucradas (ver más arriba 3.). De acuerdo con el Artículo 79 párrafo 6 letra (j) la autoridad
de control impondrá una multa de entre 1.000 euros y 1.000.000 euros o, en caso de una empresa el
2% de su facturación anual a nivel mundial, a cualquier persona que, intencionalmente o
negligentemente no designe un responsable de protección de datos o no asegure las condiciones
para el cumplimiento de sus tareas de conformidad con los Artículos 35, 36 y 37.
Con el fin de garantizar la seguridad jurídica, se debe aclarar que las sanciones administrativas
también pueden ser impuestas, si el DPO no es adecuada y oportunamente informado acerca de los
problemas de protección de datos del responsable o del encargado.
Además, el DPO debe ser requerido en el marco de la evaluación sobre el cumplimiento por el
responsable o el encargado de la obligación a la que se refiere el párrafo primero del artículo 36. El
Reglamento debe prever con mayor precisión por un derecho del DPO de obtener acceso en el
debido plazo a la información, al tratamiento de datos y las personas necesarias para el ejercicio de
su misión.
b) Línea directa de información
CEDPO también acoge con satisfacción la línea de información directa prevista en el Artículo 36
párrafo 2, pero con fines de aclaración recomienda sustituir el término “informe a la dirección”· por
“informe a la más alta representación del responsable o encargado7”. En el caso de las entidades
privadas que podrían ser al menos un miembro del consejo de dirección/administración o de la
dirección ejecutiva.
Debe atribuirse al DPO un estatuto adecuado y visibilidad dentro de la organización del responsable
o del encargado con el fin de tener su papel reconocido por los usuarios de los sistemas.
7
N. Del T. Traducción literal del original, como puede apreciarse en la siguiente frase se refiere a persona con
poderes en el Consejo de Admon.
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 10
c) Estatus Independiente
aa) El requisito de la formación
CEDPO da la bienvenida a la obligación del responsable o del encargado de apoyar las tareas del DPO
de acuerdo con el artículo 36, apartado 3. Con respecto a la calificación del DPO el responsable
debería tener la obligación de permitir el acceso a una formación adecuada, incluida la formación
continua. Puesto que los requisitos tecnológicos y jurídicos y las organizaciones evolucionan el
mantenimiento y puesta al día del conocimiento es esencial en la protección efectiva de los datos
personales. En consecuencia CEDPO recomienda la siguiente redacción:
“El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el
desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos, la formación
continua y cualesquiera otros recursos necesarios para el desempeño de las
bb) Confidencialidad
Disponer de una cláusula de confidencialidad es importante tanto para los interesados o titulares de
los datos, como para los responsables o encargados. Por ejemplo, cuando el DPO lleva a cabo una
investigación en áreas sensibles tales como las concretas medidas de seguridad y/o sobre datos
sensibles, dicha información debe mantenerse bajo la máxima confidencialidad. La Ley de Protección
de Datos en los Países Bajos, por ejemplo, proporciona una protección en estos casos a través de una
disposición específica de confidencialidad.8
5. Derecho a ponerse en contacto con el DPO
Los interesados tienen garantizado el derecho a la cancelación, acceso y rectificación, y el derecho a
ser informados sobre las quiebras de seguridad. En este apartado, CEDPO entiende problemático el
“derecho” atribuido a los interesados de contactar con los DPO a que se refiere el Artículo 35,
párrafo 10.
En primer lugar, el término “derecho” no es apropiado. De la posibilidad de contactar a los DPO no se
puede hacer un “derecho” al mismo nivel que los derechos mencionados anteriormente, esta es una
posibilidad ofrecida al afectado. Existen situaciones en las que el DPO será prácticamente incapaz de
cumplir con el deber de proveer un derecho incondicional a ser contactado. Cuando el responsable o
el encargado no proporcionen recursos apropiados para hacer frente a numerosos contactos de los
interesados, o después de un fallo de seguridad, los DPO podrían incumplir esta obligación.
En segundo lugar, el DPO tiene funciones consultivas y de seguimiento, no le corresponde llevar a
cabo las tareas a las que se refiere el artículo 37 que pertenecen al responsable. En los casos en que
deban facilitarse respuestas en nombre de la organización el DPO no se encuentra en posición de ser
persona de contacto y representar al responsable o al encargado. La mayoría de las solicitudes hoy
en día están adecuadamente llevadas a cabo por servicios de asistencia, tales como los
departamentos de las relaciones con consumidores o el departamento de Recursos Humanos, a fin
de que el DPO pueda centrar su atención en las cuestiones que marcan la diferencia en términos de
cumplimiento con la protección de datos personales por la organización. Por ejemplo, en los Países
Bajos, donde los agentes de la privacidad son designados junto con el DPO, estos funcionarios
8
Wet bescherming persoonsgegevens Article 63 point 4.
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 11
desempeñan un importante papel de apoyo al DPO9. Los interesados se reservan la posibilidad de
ponerse en contacto con los DPO, por ejemplo, en los casos de solicitudes de protección de datos
que no pueden ser abordados por las personas delegadas. Sin embargo, el contacto directo con los
interesados no debe ser desproporcionado, en la medida en que los DPO no puedan razonablemente
llevar a cabo sus otras tareas importantes.
En tercer lugar, el Artículo 35, párrafo 10, parece redundante y asistemático. Visto el Artículo 37
punto (c), se presume que los DPO puedan tener contacto directo con los interesados. Además, el
Artículo 35 establece las reglas para la designación de un DPO, y no regula los derechos de los
interesados.
CEDPO recomendaría la supresión del Artículo 35 de la Propuesta de Reglamento.
IV. UNA MAYOR REDUCCIÓN DE LAS CARGAS ADMINISTRATIVAS INNECESARIAS
La reducción de las cargas administrativas innecesarias y la mejora de las condiciones de
responsabilidad y rendición de cuentas de los responsables y encargados de datos pertenecen a los
objetivos más importantes de la Comisión. Este enfoque es bienvenido por CEDPO. Sin embargo,
desde el punto de vista de CEDPO, es cuestionable si la propuesta de la Comisión explota todo el
potencial con el fin de lograr estos objetivos. La superposición de responsabilidades debe ser evitada.
Dónde se nombra DPO, el seguimiento de la ejecución y aplicación de la normativa dentro de la
organización, se ubican adecuadamente. A pesar de ello, las DPA todavía tendrían que ser
consultadas con antelación en todos y cada uno de los casos en los que se crea que puedan existir
riesgos específicos como los vinculados a determinadas operaciones de tratamiento (artículo 34,
apartado 2, letra b). Dependiendo del resultado de la evaluación del impacto de la protección de
datos, las DPA también deberían ser consultadas en otros casos (artículo 34, apartado 2, letra a).
Independientemente de la cuestión de si las DPA dispondrían de recursos suficientes para responder
adecuadamente a los responsables o encargados, este tipo de procedimiento no se alinea totalmente
con los objetivos previamente expresados por la Comisión.
Por lo tanto, cuando haya sido designado un DPO, podría merecer la pena explorar la posibilidad
de reemplazar la consulta formal a la DPA por una obligación de mera información sobre las
operaciones de tratamiento que entrañen riesgos específicos.
De esta manera, los responsables serían capaces de ejecutar las operaciones de tratamiento sin
dilaciones indebidas ni cargas administrativas innecesarias. Las DPA permanecen en una fuerte
posición de supervisión, porque por lo general tienen el derecho de vigilar la aplicación de la
regulación sobre la base de la documentación prescrita por el Artículo 28. La obligación de consultar
formalmente al DPA sólo se aplicaría en caso de duda
9
En referencia al Explanatory Memorandum to the Police Data Act, House of Representatives, 2005-2006, 30
327, No. 3, p 92, Los Países Bajos: los funcionarios de privacidad llevar adelante algunas de las tareas. Por
ejemplo, apoyan a la organización (la policía), en el control y seguimiento del tratamiento de los datos, así
como sobre el acceso de los interesados y la corrección de los datos.
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
CEDPO: [email protected] 12
Consideración final.
Si los puntos específicos planteados en este documento a su juicio requieren discusión, no duden en
contactar con CEDPO.
CEDPO estaría encantado de compartir su experiencia y su saber hacer en el futuro. Juntos nos
esforzamos por lograr un objetivo común: la protección equilibrada y eficaz de los datos personales.
www.cedpo.eu
CEDPO First Position Paper on the Proposed General Data Protection Regulation
Descargar