El 14 de abril de 2016 el Parlamento Europeo aprobó el nuevo Reglamento General de protección de datos que reemplaza la legislación previa y armoniza la normativa para la Unión Europea. Recordemos que el Reglamento, al contrario que la Directiva, es de aplicación directa en toda la comunidad y no precisa de leyes nacionales que la adapten a cada país. Entra en aplicación en mayo de 2018, supone nuevas obligaciones en materia de protección de datos tanto para empresas como para administraciones e implica una necesaria actualización y complemento del Derecho de las nuevas tecnologías, en especial de la LOPD y la LSSICE.
Una de las principales novedades que implica el Reglamento es la obligatoriedad (en determinados casos) de la figura del delegado de protección de datos (data protection officer). Entre sus funciones encontramos la de asesorar a los responsables del tratamiento de datos y a sus empleados sobre sus obligaciones legales, supervisar, concienciar y formar al personal, evaluar el impacto ante acciones de alto riesgo para los derechos de las personas, cooperar con las Agencias de Protección de Datos y trabajar como «punto de contacto» de estas.
¿Qué empresas deberán contar con un delegado de protección de datos? En el artículo 37 del Reglamento se establece la obligatoriedad de su designación en estos casos: A) cuando el tratamiento lo realice una autoridad o ente público; B) cuando las actividades principales del responsable consistan en un tratamiento de los datos que requiera de seguimiento constante de los interesados; C) cuando las actividades principales del responsable impliquen el tratamiento a gran escala de datos especiales o datos personales que incluyan condenas y delitos.
En lo anterior hay varias expresiones clave. Para empezar, «actividades principales» se refiere a la actividad primaria de la empresa, por lo que no incluiría los casos en que el tratamiento de datos sea una función subsidiaria a las actividades fundamentales de la organización. Por otro lado, «a gran escala» es una disposición ambigua que debería contener una cifra clara. El G29 ha hecho saber a este respecto que publicará umbrales concretos. En cuanto a «seguimiento regular y sistemático», otra de las expresiones literales presentes en el Reglamento, incluye todos los modos de comportamiento online pero sin limitarse a estos.
Fuera de los organismos públicos, que quedan claramente delimitados, en los otros dos supuestos existen ciertas indeterminaciones, lo cual da más trabajo a la Consultoría de protección de datos y ha llevado a la creación de un grupo de trabajo denominado G29 (con autoridades de todos los estados miembros en materia de privacidad) para clarificar el Reglamento. La Agencia Española de Protección de Datos (AEPD) está difundiendo las directrices marcadas por el G29. De todos modos, si una empresa duda sobre si le corresponde tener un delegado de protección de datos, debe realizar un informe en el que analice si procede su designación o no.
El Reglamento blinda al delegado y lo convierte en una figura importante para la empresa, que deberá proveerle de los recursos necesarios para llevar a cabo su trabajo con total garantía y estabilidad. Sus datos de contacto serán públicos para que los interesados y supervisores puedan contactar con él directa y confidencialmente.
