Читать книгу La figura del Delegado de Protección de Datos (DPD) - Javier Puyol Montero - Страница 8
ОглавлениеCapítulo II
La posición del DPD y su designación
1. La designación obligatoria de un DPD
Como punto de partida con relación a la designación obligatoria o no de un DPD, debe partirse de los dos principios esenciales que enmarcan a la nueva normativa sobre protección de datos y privacidad, que son la llamada “responsabilidad proactiva” tanto del responsable como del encargado de tratamiento, y el enfoque de cualquier decisión llevada a cabo sobre un análisis de riesgo.
Por ello, con independencia de aquellos supuestos que se establezca como obligatorios para el nombramiento de un DPD en el Reglamento (UE) 2016/679, siempre que dichos operadores jurídicos entiendan que es imprescindible el nombramiento de un DPD amparado en los análisis de riesgos o en la necesidad de tomar decisiones pro activas para el mejor fin de los tratamientos que se estén llevando a cabo o se piensen en implementar en un futuro, debe ser la primera razón de obligatoriedad que determine la procedencia del nombramiento de un DPD.
No obstante, ello, con relación a la designación obligatoria del DPD, y partiendo del contenido de los dispuesto en el apartado 1º del artículo 37 del Reglamento 2016/679, por el que se requiere inicialmente la designación de un DPD, en tres supuestos específicos y determinados, que son los siguientes:
a) Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
b) Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
c) Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Cada organización debe empezar por documentar el proceso por el que se decide el nombramiento de un DPD, determinando en dicho expediente todas las circunstancias que han determinado la decisión de nombramiento del mismo, de acuerdo con las necesidades, la estructura y el volumen de sus tratamientos.
Por el contrario, a menos que resulte obvio que a una organización no se le requiera legalmente a que proceda a la designación de un DPD, el Grupo de Trabajo del artículo 29 recomienda que los responsables y encargados del tratamiento, también procedan a justificar documentalmente el análisis interno realizado para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes que concurren en dicha organización.
Debe tenerse presente que esta exigencia procede de la obligación de llevar a cabo por parte del responsable o encargado de tratamiento de la rendición de cuentas o la accountability.
Puede ser exigido por la autoridad de control y debe actualizarse cuando sea necesario, por ejemplo, si los responsables o los encargados del tratamiento llevan a cabo nuevas actividades o prestan servicios nuevos que puedan incluirse en los casos enumerados en el citado apartado 1º del artículo 37, del Reglamento (UE) 2016/679.
Cuando una organización designe un DPD, de manera voluntaria, es decir, en aquellos supuestos en los que no sea obligatorio reglamentariamente proceder a dicho nombramiento, se aplicarán al proceso de dicha designación, su puesto y sus funciones o tareas los requisitos establecidos en los artículos 37 a 39 del Reglamento (UE) 2016/679, como si el nombramiento hubiera sido obligatorio de acuerdo con dicha normativa comunitaria.
Esto supone a la postre, que el régimen jurídico del DPD sea de designación obligatoria, lo sea por designación puramente voluntaria del responsable o del encargado del tratamiento, está sujeto a la misma normativa con idénticos condicionamientos jurídicos en todos los aspectos que le competan, sin excepción alguna como consecuencia del origen de dicha designación.
A contrario sensu, nada impide a una organización que legalmente no viene obligada a efectuar dicha designación, precisamente, a no designar un DPD para dicha organización, ya que, en tales supuestos, tal nombramiento tiene un carácter puramente facultativo y voluntario para dicho responsable o encargado de tratamiento, sin que se encuentren, consecuentemente con ello, previstas consecuencias jurídicas para dicho supuesto.
Ello no quita, por ejemplo, para que dicha organización pueda proceder al nombramiento interno o externos en materia de protección de datos, sea de manera eventual o de forma permanente, sin que, en tal caso, dicha persona u organización asuma formalmente la condición de DPD.
En este caso, si es importante y recomendable asegurarse de que no haya confusión posible con respecto a su cargo, estatus, puesto y tareas. Por ello, debe quedar claro, en cualquier comunicación dentro de la empresa, así como con las autoridades de protección de datos, los interesados y el público en general, que el título de esta persona o asesor no ostenta la condición de DPD.
La designación de un DPD ya tenga carácter obligatorio sobre la base de la normativa vigente, o, puramente voluntario, se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento.
Seguidamente, es procedente analizar cada uno de los supuestos, donde el nombramiento de un DPD se hace obligatorio.
A. El primer supuesto reglamentariamente previsto, es el que hace referencia a que el tratamiento sea llevado a cabo o efectuado por una autoridad u organismo público.
Si seguimos la definición del Diccionario de la Lengua, la autoridad es: “la potestad, facultad, o poder que tiene una persona sobre otra que le está subordinada. Persona revestida de algún poder o mando.”
La autoridad suele estar asociada al concepto de Estado como depositario de los poderes públicos. Es el órgano de gobierno con facilidades de decisión o de ejecución para emisión de actos Administrativos imperativos, unilaterales y coercitivos, encaminados a lograr el cumplimiento de la ley o funciones de las instituciones en tanto que, si no se cumplen voluntariamente, son susceptibles de imponerse por el uso de la fuerza pública.
Así, lo funcionarios públicos con independencia de la administración a la que pertenezcan pueden estar revestidos del concepto de “autoridad”, en el sentido de que tienen la facultad de mandar y dar órdenes, que deben ser acatadas siempre que actúen de acuerdo con las leyes y normas vigentes.
El concepto de autoridad a efectos penales viene recogido en el artículo 24.1º del Código Penal, que establece:
“A los efectos penales se reputará autoridad al que por sí solo o como miembro de alguna corporación, Tribunal u órgano colegiado tenga mando o ejerza jurisdicción propia. En todo caso, tendrán la consideración de autoridades los miembros del Congreso de los Diputados, del Senado, de las Asamblea legislativa de comunidad autónoma y del Parlamento Europeo. Se reputarán también autoridades los miembros del Ministerio Fiscal”.
Los organismos públicos, por el contrario, son entidades de derecho público con personalidad jurídica propia vinculadas o dependientes de las Administraciones Públicas que tienen por objeto realizar actividades de ejecución o gestión reservadas a la Administración.
Estos organismos públicos pueden encontrarse en situación de dependencia o vinculados a la Administración General del Estado , bien directamente o bien a través de otro organismo público, los creados para la realización de actividades administrativas, sean de fomento, prestación o de gestión de servicios públicos o de producción de bienes de interés público susceptibles de contraprestación; actividades de contenido económico reservadas a las Administraciones Públicas; así como la supervisión o regulación de sectores económicos, y cuyas características justifiquen su organización en régimen de descentralización funcional o de independencia17.
El Reglamento (UE) 2016/679 no ha definido qué constituye efectivamente a los efectos de la protección de datos de carácter una “autoridad o un organismo público”. Por ello, el Grupo de Trabajo del artículo 2918 considera que dicha noción debe determinarse en virtud del Derecho nacional. Por consiguiente, desde esta perspectiva las menciones que se hacen en el citado Reglamento Comunitario de las “autoridades y organismos públicos” incluyen implícitamente a las autoridades nacionales, regionales y locales, pero además dichos conceptos, deben ser determinados siempre con arreglo a la legislación nacional aplicable, abarcando normalmente a cualquier clase de organismos regidos por el fundamentalmente por el derecho público.
No obstante, ello, debe tenerse presente, que los Juzgados y Tribunales que actúen en el ejercicio de su función jurisdiccional, están expresamente excluidos de esta obligación de nombrar a un DPD establecida al amparo del citado apartado 1º del artículo 37 del Reglamento (UE) 2016/679.
Al hilo de todo ello, y tal como señala el Grupo de Trabajo del artículo 29, una labor pública puede llevarse a cabo, y la autoridad pública puede ser ejercida, no solo por las autoridades y organismos públicos en el sentido estricto del término, sino también por otras personas físicas o jurídicas regidas por el derecho público o privado, como puede ser por ejemplo el supuesto de la “concesión administrativa”, en aquellos sectores en los que la legislación o la normativa nacional de cada país lo posibilite, citándose como casos más frecuentes a estos efectos los siguientes:
i. Los servicios de transporte público.
ii. El suministro de agua y energía.
iii. Las infraestructuras viarias.
iv. La radiodifusión pública.
v. La vivienda pública.
vi. Los órganos disciplinarios de las profesiones reguladas, entre otros supuestos.
En este sentido se señala, que los interesados pueden encontrarse jurídicamente estar en una situación muy similar a la que se produce cuando una autoridad u organismo efectivamente en el ejercicio de sus competencias de naturaleza pública, lleva a cabo el tratamiento de sus datos personales.
Consecuentemente con ello, se indica que la presencia del DPD ante este tipo de personas jurídicas que ejercen funciones de naturaleza pública, pero que pueden tener una estructura completamente privada, es especialmente importante y además útil el que hayan procedido a designar de manera obligatoria un DPD, ya que debe tenerse en cuenta que en estos supuestos, los datos pueden tratarse para fines muy dispares, y los titulares de los mismos suelen tener un escaso o nulo poder de decisión y de disposición acerca de su datos de carácter personal, especialmente si los mismos son tratados, y sobre las circunstancias que rodean a dicho tratamiento.
Aunque no existe obligación en tales casos, el Grupo de Trabajo del artículo 29 recomienda como buena práctica que las organizaciones privadas que llevan a cabo una función pública o ejercen autoridad procedan a designar un DPD.
En esta designación obligatoria del DPD, debe tener presentes que la actividad desempeñada por el mismo comprende todas las operaciones de tratamiento que se lleven a cabo, y ello también incluye dentro de las desarrolladas por dicha persona jurídica, aunque sea privada, aquellas que no se encuentren relacionadas con el desempeño de una función pública, o el ejercicio de una autoridad pública, pero sí que respondan a la actividad propia de un responsable o encargado de tratamiento.
B. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
Dentro del análisis de este apartado, se debe proceder al análisis de diversos conceptos, que se han juzgado como esenciales para poder comprender adecuadamente el alcance y el significado de este precepto, y que son los siguientes:
b.1). El concepto de “actividades principales”.
Dicho concepto de “actividades principales” se refiere tanto a la actividad desarrollada tanto por el responsable como por el encargado del tratamiento.
En este sentido, se debe traer a colación lo afirmado en el Considerando 97 del Reglamento (UE) 2016/679, donde se afirma:
“Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.
Por el concepto de “actividades principales”, en los términos recogidos en el Reglamento (UE) 2016/679 pueden considerarse, tal como ha puesto de manifiesto el Grupo de Trabajo del artículo 29, aquellas operaciones clave, que son necesarias para lograr los objetivos del responsable o del encargado del tratamiento, el cual señala que como tales no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad de dichos operadores jurídicos.
El Considerando trascrito, al mencionar el citado concepto de obligaciones principales, distingue estas de aquellas que son auxiliares en la actividad del responsable o del encargado de tratamiento. Por ello, lo que determina la aplicación del precepto que hace obligatorio el nombramiento de un delegado de protección, es, precisamente, cuando la actividad principal del responsable o del encargado del tratamiento, determine operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
b.2). El concepto de tratamiento “a gran escala”.
Complementariamente a la determinación del concepto por el que se concreta la expresión “actividad principal”, debe prestarse también atención a otro concepto, en este caso, el que se refiere a la actividad de tratamiento desarrollada “a gran escala”.
En este caso, debe hacerse referencia al contenido del apartado in fine del Considerando número 91 del citado Reglamento (UE) 2016/679:
“…Las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo”, para continuar afirmando, “…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria”.
Como criterio a considerar, debe partirse del hecho de que, en la actualidad, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. Por ello, y en cualesquiera de los casos, el Grupo de Trabajo del artículo 2919 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
a) El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
b) El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
c) La duración, o permanencia, de la actividad de tratamiento de datos.
d) El alcance geográfico de la actividad de tratamiento.
b.3). El concepto de “observación habitual y sistemática”.
Este concepto como tal no se encuentra definido en el Reglamento (UE) 2016/679, pero como elemento de ayuda para interpretar su alcance y su eficacia, debe recurrirse al Considerando número 24 de dicho Reglamento Comunitario, en el que se afirma lo siguiente:
“Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.
De dicho precepto se deduce, en primer término, que el tratamiento debe tener como objetivo principal, el seguimiento de los titulares de los datos y la creación de perfiles como relación a los mismos, con el fin concreto, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes, aunque ello no es incompatible con el hecho de que además se persigan otras finalidades con el tratamiento previsto.
En todo caso, hay de tenerse en cuenta, que estas finalidades del tratamiento incluyen la publicidad efectuada sobre la base del comportamiento de las personas.
En este orden de cosas, debe tener en cuenta que el Grupo de Trabajo del Artículo 29, ha llevado a cabo la interpretación del término “habitual”, tal como se contiene en la norma, en el sentido siguiente:
a) Continuado o que se produce a intervalos concretos durante un periodo concreto.
b) Recurrente o repetido en momentos prefijados.
c) Que tiene lugar de manera constante o periódica.
Del mismo modo, dicho Grupo de Trabajo ha llevado a cabo la misma labor con relación al término “sistemático”, que lo interpreta de la siguiente manera:
a) Que se produce de acuerdo con un sistema.
b) Preestablecido, organizado o metódico.
c) Que tiene lugar como parte de un plan general de recogida de datos;
d) Llevado a cabo como parte de una estrategia.
Todos estos elementos deben interpretarse en su conjunto a los efectos de determinar si las operaciones de tratamiento, precisamente, debido a su naturaleza, alcance o fines requieren: (i) una observación habitual y sistemática de interesados; y (ii) que la misma se produzca a gran escala.
C. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Con relación a este tercer apartado, sirva lo afirmado ya en el apartado anterior sobre los conceptos de: (i) “actividades principales”; (ii) “a gran escala”; siendo necesario precisar otra serie de conceptos como son:
c.1). Cuando el tratamiento lo sea con relación a las categorías especiales de datos.
En el examen del concepto relativo al tratamiento de categorías especiales de datos, en primer término, es necesario referirse a la regulación existente sobre esta categoría específica de datos de carácter personales, y más concretamente de lo afirmado en el artículo 9 del Reglamento (UE) 2016/679, relativo al tratamiento de datos sensibles, establece al efecto, con relación a esta tipología de datos, lo siguiente:
1. “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o las orientaciones sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”.
A su vez, este precepto, debe ser puesto en conexión, con lo afirmado en la letra c) del apartado 1º, del artículo 37 del citado Reglamento Comunitario, en el que se indica:
1. “El responsable y el encargado del tratamiento designarán un DPD siempre que:
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.
Debe matizarse el alcance y el contenido de este último precepto, en el sentido de que la obligatoriedad del nombramiento del DPD, no implica en que por parte del responsable y del encargado de tratamiento se traten simultáneamente datos sensibles, así como datos relativos a condenas e infracciones de carácter penal, sino que dicha obligatoriedad debe deducirse siempre que se traten alguna de las tipologías de estos datos, al menos con carácter alternativo, no siendo preciso, por tanto, que se produzca, como ya se ha indicado el tratamiento de ambos, aunque ello parezca deducirse del tenor literal en el que se encuentra redactado dicho precepto.
c.2). Cuando el tratamiento lo sea con relación a los datos relativos a las condenas e infracciones penales.
En el análisis del tratamiento de los datos relativos a las condenas en infracciones de naturaleza penal, debe partirse del contenido del artículo 10 del Reglamento (UE) 2016/679, señala con relación al tratamiento de los datos relativos a las condenas e infracciones penales, lo siguiente:
“El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas”.
Con relación al tratamiento de estos datos, nos debemos remitir a lo ya indicado sobre los tratamientos de datos sensibles, y de la obligación que, en uno y otro caso, se establece de proceder al nombramiento de un DPD.
D. Otros supuestos donde es obligatorio el nombramiento de un DPD
Adicionalmente a lo afirmado hasta este momento, y de manera complementaria a ello, debe traerse a colación lo afirmado en el apartado 1º, del artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y de garantías de los derechos digitales, donde se determinan los supuestos en los que es obligatorio la designación de un DPD. Así, los responsables y encargados del tratamiento deben proceder a designar un DPD en los supuestos previstos en el apartado 1º del artículo 37 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades20:
a) Los colegios profesionales y sus consejos generales.
Un colegio profesional o colegio oficial es una asociación de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
Están constituidos básicamente por centros que ofrezcan enseñanzas regladas (infantil, educación primaria, educación secundaria, bachillerato, formación profesional, enseñanzas artísticas, enseñanzas de idiomas, enseñanzas deportivas, enseñanza de personas adultas y educación especial) y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten a gran escala perfiles.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
En este caso estaríamos hablando de una tienda online, una red social, etc., cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito21.
Estamos hablando de entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
f) Los establecimientos financieros de crédito.
Son aquellas empresas que, sin tener la consideración de entidad de crédito y previa autorización del Ministro de Economía y Competitividad, se dediquen con carácter profesional a la concesión de préstamos y créditos, el arrendamiento financiero o la concesión de avales y garantías.
g) Las entidades aseguradoras y reaseguradoras.
Una compañía de seguros o aseguradora es la empresa especializada en el seguro, cuya actividad económica consiste en producir el servicio de seguridad, cubriendo determinados riesgos económicos (riesgos asegurables) a las unidades económicas de producción y consumo.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Se incluyen aquellas empresas que se dediquen al marketing elaborando perfiles del consumidor.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
En este caso incluimos diversos tipos de centros sanitarios, como hospitales, clínicas estéticas o clínicas dentales, las cuales se encuentra obligados a mantener la historia clínica del paciente.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
Se hace referencia a aquellas empresas, cuya actividad principal es la aportación de informes relativos al comercio realizado por persona físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
En este caso, se deben entender como incluidas, las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
ñ) Las empresas de seguridad privada.
Están insertas las empresas que desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Se incluyen en este caso empresas que proporcionan seguridad privada así como también los despachos de detectives privados.
o) Las federaciones deportivas cuando traten datos de menores de edad.
En tales casos, puede afirmarse, sin excepción alguna, que la designación de un DPD es completamente obligatoria.
2. El DPD del encargado de tratamiento.
Debe partirse de la conceptualización de que el encargado de tratamiento es la persona física o jurídica, autoridad, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del Tratamiento.
Así mientras que el responsable del tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, decide «por qué» y «cómo» deberán tratarse los datos personales, el encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento. El encargado del tratamiento de los datos suele ser un tercero externo a la empresa; sin embargo, en el caso de los grupos de empresas, una de ellas puede actuar como encargada del tratamiento para otra.
El artículo 4.8) del Reglamento (UE) 2016/679, define al encargado del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Lo relevante, por tanto, es que el encargado del tratamiento, a diferencia de lo que ocurre con la figura de responsable del tratamiento, no decide sobre el tratamiento de los datos personales.
En este sentido, el Grupo de Trabajo del Artículo 29 (GT29), que se integró desde el 25 de mayo de 2018 en el Comité Europeo de Protección de Datos (CEPD), señaló en su Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento”, WP 169, adoptado el 16 de febrero de 2010, que para estar ante un encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste. Y en relación con esta última cuestión, lo que resalta el Grupo de trabajo del artículo 29, es que el responsable del tratamiento puede decidir delegar todas o una parte de las actividades de tratamiento en una organización externa, es decir —como se señala en la exposición de motivos de la propuesta modificada de la Comisión—, en «una persona jurídicamente distinta que actúa por su cuenta”22.
En cuanto al proceso de designación de un DPD por parte de un encargado de tratamiento, debe hacerse alusión a lo establecido en el apartado 1º del artículo 37 del Reglamento (UE) 2016/67923, en el sentido de que las normas que rigen y determinan el nombramiento de dicho profesional, es común tanto para el responsable del tratamiento, como para el encargado del mismo, siendo asimismo idénticos los supuestos en los que dicha designación debe hacerse con el carácter de obligatoria, por lo que procede reiterar lo ya afirmado con relación al proceso de designación obligatoria de DPD con relación al responsable del tratamiento.
No obstante, ello, si debe indicarse que los criterios de designación obligatoria si pueden producirse en el responsable del tratamiento, y no en el encargado, o viceversa. Lo importante es que, en quien concurran las circunstancias determinadas en el apartado 1º del artículo 37 del citado Reglamento Comunitario, proceda a dar observancia a la norma mediante la designación de un DPD para su organización. En todo caso, el nombramiento obligatorio de un DPD por parte de un responsable o de un encargado de tratamiento constituyen hechos individualizados, y los mismos deben actuar de forma independiente, y ello, pese a que en un determinado caso, ambos delegados de protección de datos puedan colaborar entre sí, prestándose recíprocamente la ayuda que en cada caso sea precisa para el mejor cumplimiento de la normativa vigente, y la tutela de los derechos de las personas afectadas por los tratamientos que se estén llevando a efecto24.
Es importante matizar que el DPD de un encargado del tratamiento también ejercerá como tal, cuando dicho encargado actúe también en su condición de responsable del tratamiento, procediendo, consecuentemente con ello, a ejercer aquellas funciones que le son propias como tal, y ello con independencia de que en una determina relación dicha organización sea efectivamente un encargado de tratamiento.
3. La designación de un DPD único para varias organizaciones. Los conceptos de “accesibilidad” y “ubicación” en el mismo.
3.1. Introducción.
En el supuesto de que se proceda a la designación de un DPD único para varias organizaciones, se debe tener en consideración lo afirmado en el apartado 2º del artículo 37 del Reglamento (UE) 2016/679, donde se afirma que:
“Un grupo empresarial podrá nombrar un único DPD siempre que sea fácilmente accesible desde cada establecimiento”.
En el análisis de este precepto, en primer término, se debe analizar el concepto de “grupo empresarial”25, que no necesariamente debe coincidir con la existencia de una pluralidad de organizaciones que tengan un DPD en común. Así, dicho concepto de “grupo empresarial” implica “el conjunto de una o más sociedades independientes jurídicamente entre sí, pero que se encuentran bajo un control o subordinación ejercido por una matriz o controlante y sometidas a una dirección unitaria que determina los lineamientos de cada una de ellas”.
Por tanto, debe diferenciarse el concepto de “grupo empresarial”, del hecho de que varias organizaciones independientes, y sin vínculos comunes entre sí, tengan un mismo DPD, aunque el mismo no lo sea en común.
En segundo lugar, debe hacerse referencia a la accesibilidad, y más concretamente, a que el DPD perteneciente a un “grupo empresarial”, “sea fácilmente accesible desde cada establecimiento”. Este concepto debe interpretarse desde una triple perspectiva a considerar:
a) La primera de ellas hace referencia a la vinculación que el DPD ha de tener en relación con los titulares de los datos interesados en cualquier clase de tratamiento que esté llevando a cabo la organización. Con ello, se ha de dar cumplimiento a lo establecido en el Artículo 38, apartado 4 del Reglamento 2016/679, en que se dispone que “los interesados podrán ponerse en contacto con el DPD por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.
Este concepto de accesibilidad debe concretarse en la facilidad debe concretarse en la facilidad de acceso que tenga cada interesado a la hora de poder contactar por cualquier tipo de razón, con el DPD de una organización.
Ello supone generar unos canales de comunicación adecuados, accesibles, gratuitos y fáciles de manejar para que dicha comunicación sea lo más fluida posible en cada momento. Estos canales o vías de comunicación entre DPD e interesados deben contar con la publicidad adecuada, de modo y manera que sea de fácil conocimiento para el titular de los datos en cada momento, facilitando con ello dicha comunicación.
b) La segunda de ellas se proyecta sobre la autoridad de control.
Así, se ha de dar cumplimiento en primer término a lo establecido en el Artículo 39, apartado 1, letra e) del Reglamento 2016/679, el cual determina como una de las obligaciones del DPD el “actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto”. Esta obligación se complementa con la establecida en el apartado e) del mismo precepto, que establece como una obligación del DPD, precisamente, la de colaborar con la autoridad de control.
La autoridad de protección de datos debe tener conocimiento fehaciente del nombramiento del DPD llevado a cabo, mediante la comunicación que debe haber llevada a cabo la organización con el mismo, a los efectos de su identificación y constancia. Del mismo modo, y tal como se ha expuesto anteriormente, debe existir un conocimiento suficiente por parte de la autoridad de control del modo en que puede llevarse a cabo la comunicación con dicho DPD, que normalmente será a través de una dirección de correo electrónico, sin perjuicio de la constancia de los datos de identificación de la organización a la cual dicho delegado pertenece.
c) Probablemente la tercera de ellas, y más importante, hace referencia de la accesibilidad del propio conjunto de la organización o grupo empresarial al DPD. En este sentido, el Grupo de Trabajo del Artículo 29 hace referencia al contenido de la letra a), del apartado 1º, del artículo 39 del Reglamento (UE) 2016/679, en el que se señala que “el delegado de protección de datos tendrá como mínimo las siguientes funciones, y entre ellas la de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros”.
Ello determina de manera necesaria que se articulen los medios precisos dentro del conjunto de la organización para que el desempeño de estas funciones sea posible, y cumpla con las finalidades que normativamente, e internamente dentro del propio grupo empresarial se hayan determinado al efecto. En definitiva, ello significa que debe darse un cumplimiento eficaz a esta obligación del DPD con relación al grupo de empresas a las que tenga que informar o asesorar.
3.2. Otras consideraciones para tener en cuenta.
En el cumplimiento de este requisito genérico de la “accesibilidad”, en función de la estructura y el volumen de la organización, el DPD debe contar con los recursos humanos, económicos, y materiales precisos para el adecuado desempeño de su función como tal.
En este sentido, es responsabilidad de la alta dirección del conjunto de la organización y de cada una de las empresas que la integren el procurar que el DPD tenga los medios adecuados para el ejercicio de su función26.
El DPD debe contar con suficiente tiempo para completar sus actividades. A este respecto, es particularmente importante si el DPD es nombrado a tiempo parcial, compartiendo sus funciones de delegado como un complemento respecto a las propias de su trabajo en la organización, que la organización asegure que el DPD cuenta con suficiente tiempo durante su jornada para realizar las labores de DPD, pues en caso contrario estas pueden ser dadas de lado (para ello, es buena idea establecer un porcentaje de tiempo a destinar a las labores de DPD). El DPD también deberá desarrollar un plan de trabajo donde se recojan las actividades a desarrollar como DPD27.
Por tanto, la facilidad de comunicación constituye un punto de partida excusable para posibilitar la existencia de un único DPD para un grupo empresarial. Ello debe ir unido a percibir elementos a tener en consideración como, por ejemplo, que dicha comunicación pueda tener lugar el idioma o idiomas utilizados por las autoridades de control, la propia organización, y los titulares de los datos afectados por los tratamientos que se estén llevando a cabo.
Del mismo modo, la accesibilidad también implica la disponibilidad física de acceso al DPD por parte de los empleados de la organización bien sea en las mismas instalaciones de la empresa, bien a través del uso del correo electrónico, o, incluso mediante el empleo de otros medios de comunicación, donde se garantice el contacto seguro con el DPD.
En todo caso, para la designación de un único DPD para una organización o grupo empresarial, donde existan un numeroso grupo de empresas, es importante que se tenga en consideración la estructura organizativa de las mismas y su tamaño, que, si lugar a dudas va a condicionar los recursos que se tenga que invertir para que la gestión del DPD único se eficaz, y el modo de articular las comunicaciones internas dentro de la propia organización.
Todo ello debe ir orientado a que el desempeño de las funciones propias del DPD dentro del conjunto de la organización determine incumplimiento eficaz, que aporte valor añadido real para el funcionamiento del grupo empresarial, que garantice la comunicación y la colaboración adecuada con la autoridad de control en materia de proteger de datos de carácter personal, y finalmente, que asegure de manera adecuada los derechos de los titulares de los datos
Para garantizar que el DPD sea accesible a todo el conjunto de la organización empresarial, el Grupo de Trabajo del artículo 29 recomienda que dicho DPD se encuentre ubicado dentro de la Unión Europea, y ello con independencia del hecho consistente en si el responsable o el encargado del tratamiento está establecido territorialmente en ella.
No obstante, no debe excluirse que, en algunas situaciones en las que el responsable o el encargado del tratamiento no tenga establecimiento abierto en el ámbito territorial de la Unión Europea, un DPD pueda llevar a cabo sus actividades de manera más eficaz si se encuentra situado fuera de la Unión Europea28, y ello deberá deducirse del análisis de la estructura y de las necesidades existentes en el seno de la propia organización empresarial.
4. Los conocimientos y habilidades que debe reunir el DPD.
En el examen de los conocimientos y las habilidades que ha de reunir la figura del DPD, se deben tener en consideración una serie de cuestiones determinantes con relación a la posición que el mismo ocupa en el seno de cualquier empresa, de acuerdo con la normativa vigente, que son las siguientes:
a) Que, el DPD viene a representar una figura de “ayuda” o de colaboración necesaria de acuerdo con la exigencia normativa vigente al efecto, con el responsable o encargado de protección de datos en las funciones de cumplimiento del Reglamento (UE) 2016/679.
b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo empresa privada o una autoridad pública, la persona nombrada como DPD debe acreditar “conocimientos especializados del Derecho y la práctica en materia de protección de datos” (por consiguiente, tales conocimientos se deberían acreditar en un procedimiento objetivo (v.gr.: a través de una certificación, sin perjuicio de la posibilidad de la utilización de “otros medios” para acreditar tales exigencias.
c) Que el DPD puede ser una persona que preste servicios laborales o profesionales interna o externamente a una empresa privada o a la Administración Pública.
d) Y, que esa figura debe tener un estatuto jurídico que salvaguarde su independencia, lo cual incorpora un elemento existencial y diferencial a lo que sea el DPD en una empresa privada o en las administraciones públicas y entidades vinculadas o dependientes en relación con otros puestos orgánicos de esas mismas estructuras organizativas29.
Con relación al ámbito de los conocimientos y habilidades que ha de reunir la persona que desempeñe la función de DPD, debe acudirse en primer término, a lo afirmado el Considerando número 97 del Reglamento (UE) 2016/679, en el que se indica lo siguiente:
“Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
Complementariamente a ello, se afirma en el apartado 5º del artículo 37 del Reglamento (UE) 2016/679, que:
“El DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.
Todo ello conlleva a la necesidad de proceder al análisis de las cualidades profesionales que debe revestir todo DPD, y al mismo tiempo, profundizar en la necesidad de que cuente con conocimientos especializados en Derecho, y de manera específica en el ámbito de la protección de datos personales, con la finalidad de que todo ello le cualifique de manera adecuada, para el desempeño de las funciones profesionales que para él se encuentran previstas tanto en el RGPD, como en la Ley Orgánica 3/2018, así como en el modelo de Certificación profesional establecido por la AEPD y la ENAC.
A continuación, vamos a proceder al análisis de estos requisitos con los que debe contar todo DPD.
A. El nivel de conocimientos del DPD.
En primer término, de haberse referencia al nivel de conocimientos exigible al DPD.
Debe poseer un profundo conocimiento de la legislación nacional e internacional, dentro del ámbito territorial donde desarrolle su actividad el responsable y/o el encargado del tratamiento para el cual preste sus servicios, con especial atención a la normativa y a las prácticas en materia de protección de datos de carácter personal. Ello, obviamente abarca la legislación específica sobre la materia. Debe hacerse con relación a este conocimiento una especial referencia al Reglamento (UE) 2016/679, y a la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, poseyendo un conocimiento profundo, y una especial identificación y sensibilización con relación a los principios y los valores en los que se fundamenta dicho complejo normativo, así como las resoluciones y los criterios más relevantes establecidos por las autoridades de control, interpretando en cada momento la normativa vigente.
Al hilo de ello, y de manera consecuente con ambos pronunciamientos normativos trascritos, debe recalcarse que, el nivel de conocimientos debe ser en primer término, de carácter jurídico, y además los mismos deben ser necesariamente especializados en el ámbito de la protección de datos de carácter personal, pero la exigencia normativa para el DPD va más allá.
Su nivel de especialización no debe valorarse exclusivamente por el hecho de conocer y dominar esta materia, sino que dicho nivel de conocimiento está en función, y así se debe determinar, en relación con las concretas operaciones de tratamiento de datos que se lleven a cabo en el ámbito de las actividades desarrollada bien por el responsable, bien en su caso, por el encargado de tratamiento.
En los términos señalados por el Grupo de Trabajo del artículo 29, dicho nivel de conocimientos requerido no se encuentra definido de manera estricta en el ámbito del Reglamento (UE), debiendo ser en todo caso el mismo acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata.
La función del DPD implica el conocimiento de un conjunto de bloques normativos, que dependen del país donde desarrolle su actividad, al empresa o responsable/encargado del tratamiento al que preste sus servicios, y debe tenerse en cuenta que ello, va más allá de los meros conocimientos jurídicos o técnicos en el ámbito de la protección de datos personales, ya que no debe olvidarse que la empresa de ordinario tiene estructuras muy amplias, y por ello, debe tener un profundo conocimiento de la actividad desarrollada por dicha empresa30, aunque no tiene que ser un técnico especializado en todos los ámbitos de actuación de la misma, su nivel de formación y su experiencia le ha de permitir poder supervisar las diversas áreas que la componen, con la finalidad de poder detectar los puntos débiles que puedan afectar al desarrollo de sus funciones dentro de la organización, y al mismo tiempo, tener la capacidad de desarrollar mecanismos de control y que permitan controlar de manera adecuada su evolución.
Por tanto, los conocimientos jurídicos generales unidos a los de carácter específico propios del ámbito de la protección de datos personales, no debe considerarse como un punto de partida para el DPD, sino que los mismos deben encontrarse complementados en función del área de actividad que desarrolle la empresa o, el responsable o encargado del tratamiento para el cual, dicho DPD preste sus servicios laborales o profesionales.
En este sentido, el Grupo de Trabajo del artículo 2931, señala que el DPD debe elegirse con cuidado, dadas las responsabilidades que asume para el buen funcionamiento de la actividad de la empresa, dentro del ámbito de la empresa, teniendo debidamente en cuenta las cuestiones relativas a la protección de datos que surjan en la organización.
Igualmente, se debe poner de manifiesto como el elemento de formación continua constituye un requisito sine qua non para todo DPD, incluso para la propia renovación de su certificación profesional como tal. Dicha formación continua debe proyectarse en el caso del DPD, en temas novedosos conforme se van produciendo avances en la tecnología, que traigan como consecuencia importantes novedades en la aplicación o en la interpretación de la normativa sobre protección de datos personales.
Este mismo criterio debe ser aplicación en la necesidad cada vez más recurrente de los DPD’s de proceder a tener una especialización de carácter sectorial.
Finalmente, el Grupo de Trabajo del Artículo 2932, se ha pronunciado sobre la necesidad de formación continua de los DPD, y se ha recomendado que por parte de las autoridades de control se fomente y promueva una formación adecuada y regular para los DPD’s.
B. Las cualidades profesionales, o el nivel de habilidad personal y profesional que debe concurrir en la figura del DPD.
Debe insistirse, tal como antes se indicó, que el citado apartado 5º del artículo 37 del Reglamento 2016/679 no especifica cuáles o en qué consisten las cualidades profesionales que se deben tener en cuenta a la hora de designar a un DPD.
En este sentido, el Grupo de Trabajo del Artículo 2933 ha indicado que la capacidad del DPD para desempeñar sus funciones debe interpretarse tanto en referencia a sus cualidades personales y conocimientos como a su puesto dentro de la organización.
En el examen de estas características personales y profesionales propias del DPD, debe partirse de lo afirmado en el apartado in fine del Considerando 97 del Reglamento 2016/679, por el que se afirma que, dicho DPD debe “estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.
El concepto de independencia en el ejercicio de la función del DPD hace referencia, sin que en su actuación medie la existencia de instrucciones por parte del responsable o del encargado del tratamiento, quienes tienen que estar en condiciones y garantizar en todo caso esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. El desempeño de su función basado en la independencia puede ser calificado como el eje principal del principio de responsabilidad activa del Reglamento (UE) 2016/679, precisamente por ser la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones34.
Es importante recalcar que, no obstante, el concepto de independencia, el mismo no puede ser llevado a tal extremo, que, sobre la base del mismo, el DPD de carácter personal sustituya al responsable o encargado de tratamiento. En este sentido, debe tenerse en cuenta que en ningún caso el DPD tiene que sustituir al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos, ni tampoco puede o debe asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables, como consecuencia de tratamientos de datos no acordes con la normativa vigente sobre protección de datos personales.
Estas consideraciones determinan que las cualidades personales que debe reunir un DPD deben incluir, a título de ejemplo las siguientes características:
a) Un adecuado grado de integridad personal, y un nivel elevado de ética profesional.
b) La principal preocupación de un DPD debe ser posibilitar el cumplimiento del Reglamento (UE) 2016/679 la Ley Orgánica 3/2018 de 5 de diciembre, y demás normativa nacional, europea, y en su caso internacional vigente en el ámbito de la protección de datos de carácter personal.
c) El DPD desempeña, además, un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales de la normativa vigente sobre privacidad, como pueden ser, entre otras cuestiones relevantes en la materia, las siguientes:
c.1.). Los principios relativos al tratamiento de datos.
c.2). Los derechos de los interesados.
c.3). La protección de los datos desde el diseño y por defecto.
c.4). El registro de las actividades de tratamiento.
c.5). La seguridad del tratamiento.
c.6.). La notificación y comunicación de las violaciones de la seguridad de los datos.
5. La publicación y la comunicación de los datos de contacto del DPD.
En el examen de lo atinente a la obligación de proceder a publicar y a comunicar los datos de contacto del DPD ante la autoridad de control35, debe tenerse presente que el RGPD dispone que los responsables y encargados de tratamiento deberán designar un DPD (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembros de la Unión Europea, así lo considere también obligatorio.
Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD36).
Del mismo modo, en el ámbito de las entidades del sector privado el RGPD establece algunos supuestos en los que es también obligatoria la designación de los DPD tanto para los responsables como para los encargados del tratamiento. El RGPD establece en su artículo 37.7 que: “El responsable o el encargado del tratamiento publicarán los datos de contacto del DPD y los comunicarán a la autoridad de control”.
Tal como ha señalado la Agencia Española de Protección de Datos (AEPD), por la misma se ha procedido a publicar el llamado “Registro de Delegados de Protección de Datos” (DPD), el cual contiene los datos de contacto de cerca de 20.000 entidades, de las cuales alrededor de 3.000 profesionales corresponden al sector público y casi 17.000 a empresas, y demás organizaciones pertenecientes al sector privado.
Este espacio de consulta, disponible en la Sede electrónica de la Agencia, permite a cualquier interesado conocer el contacto de los delegados de protección de datos comunicados a la AEPD. De esta forma, los ciudadanos que quieran ejercitar sus derechos o presentar una reclamación ante una entidad pueden introducir el nombre, razón social o NIF de la organización para conocer los datos de contacto del DPD y dirigirle sus solicitudes.
Con este registro la Agencia da cumplimiento a lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que en su artículo 34.4 señala que: “la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos”.
Esta información que figura en estos listados de Delegados de Protección de datos es objeto de actualización periódica por parte de la autoridad de control, y se corresponde con los datos de contacto que los responsables o encargados del tratamiento facilitan a la Agencia a través del formulario que se encuentra disponible en su Sede electrónica. La comunicación relativa a las designaciones, nombramientos y ceses de los delegados de protección de datos debe realizarse en el plazo de diez días, tanto en los supuestos en que sea obligatoria su designación como en el caso en que sea voluntaria.
La comunicación de los datos del DPD a la Agencia Española de Protección de Datos tiene carácter obligatorio para organismos públicos, así como para entidades que hagan tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos, como recoge el RGPD. Y, en todo caso, cuando se trate de las entidades incluidas en el artículo 34.1 de la Ley Orgánica 3/2018, que señala a estos efectos lo siguiente:
“Los responsables y encargados del tratamiento deberán designar un DPD en los supuestos previstos en el artículo 37. 1º del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad”.
A los efectos de gestionar de manera eficaz esta comunicación por la AEPD se ha desarrollado un sistema de notificaciones electrónicas, que se materializa en un formulario online al que se accede con certificado electrónico, en cumplimiento de lo dispuesto en el artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
Este sistema de notificación electrónica -que permite realizar la comunicación de los datos del DPD (tanto si se trata de una persona física como de una entidad pública o privada actuando como delegado), así como los datos de todas aquellas entidades para las que este haya sido designado- no se circunscribe únicamente a las Administraciones Públicas y las entidades privadas obligadas. Las empresas que no estén obligadas por las previsiones del Reglamento a designar un DPD y que quieran implantar esta figura en sus organizaciones como apoyo al cumplimiento pueden utilizar este formulario con el fin de comunicarlo37.
Tal como indica la Agencia Española de Protección de Datos, como resultado de la tramitación del expediente creado a partir de la solicitud de alta relativa a la comunicación de los datos de comunicación del DPD, se obtienen dos tipos de documentos:
– Una notificación dirigida a la persona física que realiza el trámite. Este documento se envía a través del sistema Notific@ el cual, a su vez, deja la notificación disponible tanto en la Dirección Electrónica Habilitada del Servicio de Notificaciones Electrónicas como en Carpeta Ciudadana, en ambos casos en el buzón que se identifica por el DNI o NIE del solicitante.
Cada uno de estos servicios le enviará un aviso al correo electrónico indicado en la solicitud informando de la puesta a disposición de la notificación. En el caso del Servicio de Notificaciones Electrónicas también enviará el aviso a todas las direcciones de correo electrónico que ya tuviera asociadas el buzón DEH (si existía anteriormente).
Dado que la notificación se dirige al solicitante, tenga en cuenta que para acceder a Carpeta Ciudadana o al Servicio de Notificaciones Electrónicas deberá hacerlo con un certificado personal, puesto que, si utilizase un certificado de representación, lo que estaría viendo es la Carpeta Ciudadana de la entidad representada y las notificaciones dirigidas a esa entidad.
– Tantas comunicaciones como entidades figuren en la solicitud. Estas comunicaciones se envían al responsable, a través del sistema Notific@ el cual, a su vez, deja la notificación disponible exclusivamente en Carpeta Ciudadana. Este servicio le enviará un aviso al correo electrónico indicado en la solicitud informando de la puesta a disposición de la notificación.
Dado que la comunicación se dirige a la entidad, tenga en cuenta que para acceder a Carpeta Ciudadana deberá hacerlo con un certificado de representación, puesto que si utilizase un certificado de persona física lo que estaría viendo es la Carpeta Ciudadana de esa persona y las notificaciones dirigidas a esa persona. Para ver la comunicación deberá seleccionar la pestaña Comunicaciones ya que Carpeta Ciudadana muestra la pestaña de Notificaciones por defecto.
Tanto las notificaciones como las comunicaciones estarán disponibles por un plazo de 10 días naturales, dándose por notificadas tanto si se accede a su lectura, si se rechaza o si transcurre el citado plazo sin haber accedido a la notificación, de conformidad con lo establecido en el artículo 43.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
A los efectos del desarrollo adecuado del proceso de comunicación de datos del DPD, debe tenerse en cuenta las indicaciones establecidas por la propia Agencia Española de Protección de Datos, en su “Guía rápida de comunicación del DPD”38. Tal como se señala en la misma, el formulario de comunicación del DPD establecido por la AEPD es un formulario web compuesto por varias pantallas, que permite la comunicación de altas de Delegados de Protección de Datos, así como la modificación o supresión de los datos de Delegados de Protección de Datos ya inscritos.
En las altas, tras la identificación de quien realiza la comunicación, se deberán cumplimentar los datos del DPD, datos de la entidad o entidades para las cuales ha sido designado, se podrá adjuntar documentación y finalmente deberá confirmar y enviar.
Se pueden indicar hasta un máximo de 10 entidades para las cuales ha sido designado el DPD comunicado.
En modificaciones y supresiones, tras la identificación de quien realiza la comunicación, se deberá especificar la entidad sobre la cual se quiere realizar la operación y, en el caso de modificaciones, introducir a continuación los nuevos datos.
El anexado de documentación y el envío funciona igual que en las altas.
La comunicación sólo puede presentarse por medios electrónicos, ya sea utilizando un certificado digital o el DNI electrónico, o bien mediante las claves concertadas que admite la plataforma Cl@ve1:
Cl@ve ocasional (Cl@ve PIN): sistema de contraseña de validez muy limitada en el tiempo, orientado a usuarios que acceden esporádicamente a los servicios, que se corresponde con el sistema PIN24H de la AEAT.
Cl@ve permanente: sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Se corresponde con el sistema de acceso mediante usuario y contraseña, reforzado con claves de un solo uso por SMS, a los servicios de la Seguridad Social.
Para la presentación de las comunicaciones deberá tener en cuenta:
a) O bien poseer un certificado electrónico emitido por una Autoridad de Certificación. En el siguiente enlace encontrará información acerca de los certificados digitales admitidos y de las Autoridades de Certificación que los emiten: 2
https://firmaelectronica.gob.es/Home/Ciudadanos/Certificados-Electronicos.html
b) O bien acceder mediante el uso de claves concertadas que permite el sistema Cl@ve.
c) Tener instalado el programa Auto firma. Puede descargarse e instalar la aplicación Auto firma desde la web de la Administración dedicada a la firma electrónica:
http://firmaelectronica.gob.es/Home/Descargas.html
Con el fin de dar cumplimiento a lo señalado en el artículo 34.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que establece que “La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos”, se encuentra disponible en la Sede Electrónica de la AEPD la consulta de la lista de Delegados de Protección de Datos comunicados a la Agencia Española de Protección de Datos. Consiguientemente con ello, se puede acceder a ella a través del siguiente enlace:
https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf.
17 En este sentido, vid el artículos 88 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
18 Cfr.: WP 243. Directrices sobre los delegados de protección de datos (DELEGADO DE PROTECCIÓN DE DATOS). Obra citada.
19 Como ejemplos de lo que se considera tratamiento a gran escala, el Grupo de Trabajo del Artículo 29, cita los siguientes:
a). El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital; el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte).
b). El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios.
c). El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
d). El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda.
e). El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
Por el contrario, como supuestos que no constituyen tratamientos a gran escala, cita dicho Grupo de Trabajo los siguientes:
a). El tratamiento de datos de pacientes por parte de un solo médico;
b). El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.
20 Cfr.: INCIBE. “DELEGADO DE PROTECCIÓN DE DATOS, DPD, el Delegado de Privacidad”. 10 de julio de 2018
https://www.incibe.es/protege-tu-empresa/blog/delegadodeproteccióndedatos-o-DPD-el-delegado-privacidad
21 De acuerdo con el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, son entidades de crédito las que se indica seguidamente:
“1. Son entidades de crédito las empresas autorizadas cuya actividad consiste en recibir del público depósitos u otros fondos reembolsables y en conceder créditos por cuenta propia.
2. Tienen la consideración de entidades de crédito:
a) Los bancos.
b) Las cajas de ahorros.
c) Las cooperativas de crédito.
d) El Instituto de Crédito Oficial”.
22 Cfr.: Grupo de Trabajo del Artículo 29. Opinion 1/2010 on the concepts of “controller” and “processor”. WP 169 de 16 de febrero de 2010.
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf
Cfr.: Concepto de Encargado de Tratamiento. Guía Jurídica. Wolters Kluwer
23 El citado apartado 1º del artículo 37 del Reglamento (UE) 2016/679, comienza señalando, a tales efectos lo siguiente:
“El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: …”, de donde se deduce que las normas de nombramiento obligatorio del delegado de protección de datos son comunes para ambos operadores jurídicos.
24 El Grupo de Trabajo del artículo 29, ha puesto como ejemplos de esta situación los que se describen a continuación:
a). Una pequeña empresa familiar que se dedica a la distribución de electrodomésticos en una única ciudad utiliza los servicios de un responsable del tratamiento cuya actividad principal es prestar servicios de análisis web y asistencia en materia de publicidad dirigida y mercadotecnia. Las actividades de la empresa familiar y sus clientes no generan un tratamiento de datos «a gran escala», teniendo en cuenta el reducido número de clientes y las actividades relativamente limitadas. No obstante, las actividades del responsable del tratamiento, que tiene muchos clientes como esta pequeña empresa, tomadas en su conjunto, constituyen un tratamiento a gran escala. El responsable del tratamiento deberá, por tanto, designar un DELEGADO DE PROTECCIÓN DE DATOS, de conformidad con el artículo 37, apartado 1, letra b). Al mismo tiempo, la empresa familiar no está sujeta a la obligación de designar un DELEGADO DE PROTECCIÓN DE DATOS.
b). Una empresa mediana que fabrica azulejos subcontrata sus servicios de salud laboral a un responsable del tratamiento externo con un gran número de clientes similares. El responsable del tratamiento designará un DELEGADO DE PROTECCIÓN DE DATOS en virtud del artículo 37, apartado 1, letra c), siempre que el tratamiento se realice a gran escala. No obstante, el fabricante no estará necesariamente obligado a designar un delegado de protección de datos.
25 Durante años, nuestra doctrina ha mantenido un enconado debate en torno a la definición general de grupo de sociedades. Se confrontaba el llamado concepto inglés, basado en la existencia o posibilidad de control, con el concepto germánico, más amplio, basado en la noción de unidad de decisión. El primero tenía reflejo en el artículo 42 del Código de Comercio y el segundo en el actual artículo 5 TRLMV. En el año 2003 (por Ley 62/2003, de 30 de diciembre), el Legislador español tomó partido por el concepto germánico de grupo, al modificar el artículo 42 del Código de Comercio e introducir en el mismo una definición centrada en la noción de unidad de decisión. Con ello daba cabida, no sólo a los denominados grupos verticales o de subordinación, en los que se da una situación de control, sino también a los llamados grupos horizontales, caracterizados por existir una unidad de decisión entre dos o más sociedades, sin que haya dominio por parte de ninguna de ellas. Ya en 2007, desarrollando la reforma introducida en nuestro Derecho contable por la Ley 16/2007 se define dos conceptos de grupo. Estos dos conceptos son los siguientes:
- Grupo de subordinación (Grupo “vertical”): El regulado en el artículo 42 del Código de Comercio, que podríamos denominar de subordinación, formado por una sociedad dominante y otra u otras dependientes controladas por la primera.
- Grupo de coordinación (Grupo “horizontal”): El integrado por empresas controladas por cualquier medio por una o varias personas físicas o jurídicas, que actúen conjuntamente o se hallen bajo dirección única por acuerdos o cláusulas estatutarias, previsto en la indicación decimotercera del artículo 260 de la Ley de Sociedades de Capital, en la norma de elaboración de las cuentas anuales (NECA) número 13. Empresas del grupo, multigrupo y asociadas del PGC y en la NECA número 11 del PGCPYMES.
Cfr.: Concepto de Grupos de Empresa. Guía Jurídica Wolters Kluwer.
26 En este sentido, a título de ejemplo, no puede pasarse por alto el contenido del Artículo 12, apartado 1 del Reglamento (UE) 2016/679, en donde la información y la comunicación entre el responsable del tratamiento y el titular de los datos afectados por el tratamiento se hace inexcusable. En dicho precepto, en este orden de cosas, se afirma:
«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño».
27 En este sentido, CARO, Lucia, que equipara la existencia de los recursos económicos, humanos y materiales con que debe contar un DPD, y el apoyo de la alta dirección de la organización, al hecho de que el DPD cuente con el tiempo necesario para el ejercicio de sus funciones.
Cfr.: “El papel del delegado de Protección de Datos”. Nueva Empresa. 4 de octubre de 2018.
http://www.nuevaempresa.com/delegado-proteccion-datos-y-rgpd/
28 En este sentido, debe tenerse en cuenta con relación a la aplicación del ámbito territorial de la nueva normativa, tal como señala el Grupo de Trabajo del Artículo 29, el contenido del artículo 3 del Reglamento (UE) 2016/679, en el que se señala lo siguiente:
“1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2.El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3.El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público”.
29 En este sentido, cfr. JIMENEZ ASENSIO, Rafael. “El delegado de protección de datos: perfil y encuadre en las organizaciones públicas (en especial en los entes locales)”. La Administración al día. Instituto Nacional de la Administración Pública. 22 de marzo de 2018.
http://laadministracionaldia.inap.es/noticia.asp?id=1508368
30 El conocimiento del sector empresarial y de la organización del responsable del tratamiento es también útil. Asimismo, el delegado de protección de datos debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento.
Cfr.: Grupo de Trabajo del Artículo 29.
31 El Grupo de Trabajo del artículo 29, pone como ejemplo de la necesidad de conocimiento específico dentro del ámbito de la empresa, el hecho consistente en si por la misma transfiere sistemáticamente datos personales fuera de la Unión Europea o si dichas transferencias son meramente circunstanciales o de carácter ocasional.
32 Cfr.: Grupo de Trabajo del Artículo 29, de la Directiva 95/46/CE. WP 143. Obra citada.
33 Cfr.: Grupo de Trabajo del Artículo 29, de la Directiva 95/46/CE. WP 143. Obra citada.
34 Cfr.: ESPAÑA, Mar. “El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido”. El Derecho.com. 1 de agosto de 2017.
Dicha autora señala que desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El delegado de protección de datos requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que, en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.
35 Agencia Española de Protección de Datos. “Comunicación del Delegado de Protección de Datos”.
36 El apartado 1º del artículo 37 del RGPD señala que “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial”.
37 Cfr.: “La Agencia Española de Protección de Datos publica el sistema de notificación electrónica para comunicar la designación de Delegados de Protección de Datos. Iberley. 12 de abril de 2018.
38 Cfr. AEPD. ““Guía rápida de comunicación del Delegado de Protección de Datos”. Registro General de Protección de Datos. Incluida en el Anexo II de esta Obra.
