Recientemente
ha salido a la luz el
Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (¡alabado sea!), con las modificaciones realizadas sobre el Anteproyecto de la misma ley. Una de las cuestiones que han llamado la atención, son las modificaciones realizadas sobre la figura del Delegado de Protección de Datos (DPD/ DPO). Vamos a echar un vistazo.
Artículo 34
En el artículo 34, donde se nos habla de los distintos obligados a disponer de un
DPD, se ha visto modificado en los siguientes aspectos:
- En el apartado L), donde se trata la obligatoriedad de disponer de DPD a “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes» se ha incluido la exclusión (valga la no-redundancia) de aquellos profesionales sanitarios que ejerzan su actividad a título individual.
- Se crea un apartado ñ donde incluye como obligados a “Las empresas de seguridad privada”.
- Se crea un apartado O), donde se incluye como obligados a “Las federaciones deportivas cuando traten datos de menores de edad”.
Por último, es incluido como “bonus track” el apartado 34.5:
“En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.”
Lo que nos quiere decir este añadido es que, por si acaso no nos había quedado claro en el RGPD y el resto de la redacción de la ley, un DPD puede ser DPD a tiempo parcial, y no tiene por qué dedicarle toda su jornada y su ser a la función de DPD. Por si alguien lo dudaba.
Artículo 35
A continuación, seguimos con las modificaciones del artículo 35, sobre la cualificación del delegado de protección de datos. Al final de este artículo, nos hace una referencia muy particular:
“que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos”. El anterior anteproyecto, hacía referencia a una formación especializada, sin acotar el campo universitario. Ahora, aunque no nos obliga, si que nos dice que “se tendrá muy en cuenta”. Suponemos que no se quieren pillar los dedos y que nadie se tire de los pelos por exigir un título de formación superior para
un puesto que necesita especial formación y profundidad en el conocimiento de la protección de datos. Las pieles, que son muy finas.
Artículo 36
Entramos ahora en el artículo 36, el cual detalla la posición del delegado de protección de datos, dentro de la organización a la que pertenece.
En el primer apartado de este artículo, se ha añadido la siguiente competencia:
“El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias”, con la que se afianza el rol de DPD como herramienta de inspección interna, así como asesoramiento.
El apartado 36.2
“Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”, nos viene a recordar la importante de
la independencia del DPD, la cual debe evitar ser “corrompida” con otros intereses que pueda tener el mismo, ya sea dentro de la organización a la que pertenece, o con otras organizaciones o particulares con los que interactúe dentro del ejercicio de su cargo.
El apartado 36.3 , hace una pequeña modificación a nivel textual, pero con un significado no vacío de intención, ya que ahora
“cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento”. Mientras que el anterior anteproyecto no hacía alusión a ningún tipo de documentación que demostrara la vulneración de la protección de datos, en este artículo obliga al DPD a mostrar de una forma concreta de qué forma se ha violado la ley, de esta forma, evitando ambigüedades y posibles “malentendidos” sobre lo que ha sucedido.
Artículo 37
El artículo 37, el cual nos habla sobre la intervención del delegado de protección de datos en caso de
reclamación ante las autoridades de protección de datos, ha añadido el siguiente apartado 3:
“El procedimiento ante la Agencia Española de Protección de Datos será el establecido en el Titulo VIII de esta ley orgánica y en sus normas de desarrollo. Asimismo, las Comunidades Autónomas regularán el procedimiento correspondiente ante sus autoridades autonómicas de protección de datos.”
Esta aclaración se hace especialmente interesante, cuando la hilamos con el artículo 64 de dicho Título VIII, artículo donde se nos habla de la forma de iniciación del procedimiento y duración, y el cual no existía en el anterior anteproyecto de ley.
Pero este artículo y su Título, dan para un análisis en concreto para ellos, por lo que podréis informaros de este y más, en próximas publicaciones.
En
Legitec, estamos constantemente en estudio, desarrollo y por qué no decirlo, debate, de todas las nuevas cuestiones que surgen y surgirán en el mundo de la protección de datos, para teneros a todos siempre al tanto de vuestros derechos y a veces, obligaciones.
Un saludo, hasta que nos volvamos a leer.
