Por Javier Alvarez Hernando.
Abogado y Delegado de protección de datos.

Introducción y antecedentes históricos del delegado del DPO 

El Reglamento Europeo de Protección de Datos incorpora como otra gran novedad, en su Sección 4.ª (artículos 37, 38 y 39) la figura del delegado de protección de datos, o DPO, por sus siglas en inglés (Data Protection Officer).

El DPO, en el nuevo marco reforzado de cumplimiento basado en la responsabilidad, es la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.

Tal y como señala Recio Gayo, la Comisión Europea, en su documento de trabajo sobre la evaluación de impacto relativo a la propuesta de Reglamento, define al DPO como «una persona responsable en el seno de un responsable o un encargado del tratamiento para supervisar y monitorear de una forma independiente la aplicación interna y el respeto de las normas sobre protección de datos. El DPO puede ser tanto un empleado como un consultor externo». Directrices del GT29 sobre el delegado de protección de datos: figura clave para la responsabilidad («accountability»). Miguel Recio Gayo. Diario La Ley, N.º 2, Sección Legal Management, 12 de enero de 2017, Wolters Kluwer.

La figura del delegado de protección de datos ha sido muy debatida en todo el proceso regulatorio del REPD, no solo su propia existencia sino sobre su posible carácter obligatorio y universal para todas las entidades e instituciones. «(…) En determinados países de la Unión Europea, como Alemania o Hungría dicha figura es a día de hoy obligatoria, en otros, países como Holanda o Austria, su nombramiento es opcional y en otros, como en España no existe tal obligación. Al final, el Reglamento General de Protección de Datos ha optado por una solución intermedia, que es la obligatoriedad en la designación de dicha figura, pero sólo para determinados casos concretos (…)» Rodríguez Ballano, Susana. Actualidad Jurídica Aranzadi. Núm. 915/2016.

Esta figura apareció, por primera vez en 1977, en Alemania con la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz), en su Sección 38. Posteriormente, la Directiva 95/46/CE hacía una velada mención a este principio en su artículo 18.2, contemplándolo como una condición para poder omitir o simplificar la obligación de notificación de ficheros a la autoridad de control.

Por otra parte, el Considerando 54, de la Directiva 95/46/CE indica que «a la vista de todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares debería ser muy limitado; que los Estados miembros deben prever, para dichos tratamientos, un examen previo a su realización por parte de la autoridad de control o del encargado de la protección de datos en cooperación con aquélla».

agencia-de-proteccion-de-datos

Posteriormente, la figura del DPO fue introducida en el ámbito de las instituciones y organismos de la Unión Europea a través del Reglamento (CE) 45/2001 del Parlamento Europeo y del Consejo que se aplica al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión Europea.

En nuestro ámbito interno, la AEPD ha venido promoviendo la implantación de la figura de los DPO en las compañías, como se desprende de las funciones y canales de comunicación asignados en su Plan Estratégico para los años 2015-2019. En este sentido, la Agencia señala en dicho plan que «promoverá la figura de los DPO, que tienen una labor proactiva fundamental de cara a implantar las medidas protectoras y de evaluación de impacto en el seno de las entidades responsables, por lo que se quiere establecer una estrecha colaboración con estos agentes».

Concretamente, en el Plan Estratégico de la Agencia para los años 2015-2019. Eje estratégico N.º4. señala que «los profesionales de la privacidad desarrollan una labor muy relevante en el asesoramiento que realizan a los responsables y encargados de tratamiento. Igualmente, con independencia de cuál sean las previsiones definitivas que finalmente se establezcan en el futuro Reglamento europeo de protección de datos, la figura del delegado de protección de datos tiene, para la Agencia, una función fundamental como interlocutor para facilitar la adopción de las correspondientes medidas protectoras en el seno de las entidades responsables, desarrollando así la labor proactiva que la Agencia quiere impulsar». 

Finalmente, El Grupo de Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, en relación con los delegados de protección de datos, una directriz (WP 243, de 13 de diciembre de 2016) y un documento de preguntas frecuentes, dirigido a responsables y encargados de tratamiento. Ambos instrumentos tratan de servir como guía u orientación para quienes deben cumplir con la obligación de designar un DPO, al igual que se dirigen a los propios delegados, a fin de delimitar sus funciones y responsabilidades.

Resulta de gran interés, el documento «Posición de la Confederation of European Data Protection Organitations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos», de 15 de febrero de 2017, donde importantes asociaciones europeas en esta materia han fijado unos criterios interpretativos comunes, respecto al DPO. Si bien, evidentemente, no son instrumentos normativos, si entendemos que tienen gran interés. Nos referiremos a estas conclusiones a lo largo de este apartado.

CEDPO se fundó en 2011 por organizaciones europeas de protección de datos, esto es, AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel), de Francia, APEP (Asociación Profesional Española de Privacidad), de España, GDD (Gesellschaft für Datenschutz und Datensicherheit), de Alemania, y NGFG (Nederlands Genootschaap van Functionarissen voor de Gegevensbescherming), de los Países Bajos. A la Confederación de unieron pronto ADPO (Association of Data Protection Officers), de Irlanda, Arge Daten, de Austria y SABI (Stowarzyszenie Administratorów Bezpieczeństwa Informacji), de Polonia.

Mas información en el PRACTICUM PROTECCIÓN DE DATOS 2018.

Funciones del delegado de protección de datos

El Delegado de Protección de Datos es uno de los ejes principales del principio de responsabilidad activa que contempla el Reglamento Europeo. Tal y como recoge el artículo 39 REPD, el Data Protection Officer (DPO) tiene las siguientes funciones, que pueden ser ampliadas por cada entidad u organización:

A) Función de información y asesoramiento normativo

  • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban. Por tanto, se exige una formación en privacidad muy cualificada por parte del DPO, tal y como señala, además del sentido común, el articulo 37.5 del REPD.
  • Debe asesorar al responsable o al encargado del tratamiento acerca de la evaluación de impacto relativa a la protección de datos (también es responsable de supervisar su realización).
  • Debe informar y asesorar a los empleados que traten datos personales en el seno de las organizaciones responsables o encargadas del tratamiento. A tal fin debería existir un canal interno, ya sea a través de la intranet corporativa, o a través de un buzón interno de consultas.

B) Función de supervisión del cumplimiento normativo. Auditoría

  • Debe supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad u organización.
  • Debe revisar las políticas internas de privacidad en la organización y su adecuación normativa.
  • Debe asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
  • Se debe ocupar de la realización de acciones internas de concienciación respecto al cumplimiento efectivo de las normas sobre privacidad, incluidas las de carácter interno.
  • Debe realizar acciones formativas para el personal que participa en las operaciones de tratamiento de datos.
  • Debe supervisar las evaluaciones de impacto en la protección de datos. El Dictamen del GT29 referido ut supra, destaca que su función se convierte, al mismo tiempo, en un deber en cuanto a «ofrecer el asesoramiento que se le solicite» y «supervisar» la aplicación de dicha evaluación. El Dictamen WP 243 recomienda que el asesoramiento del DPO se extienda, entre otras cuestiones, a determinar la metodología a seguir, o si se debe externalizar o no la elaboración de la evaluación de impacto.

C) Función de cooperación y enlace con la autoridad de control

  • Debe cooperar con la autoridad de control, o agencia de protección de datos correspondiente.
  • Debe actuar como punto de contacto de la Agencia para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa (que se detalla en el artículo 36 del REPD respecto a evaluaciones de impacto que muestren alto riesgo para la privacidad), y consultar en su caso, sobre cualquier otro asunto.

D) Función de atención a los interesados

  • Debe atender a los interesados que lo soliciten. Al respecto, el artículo 38.4 del REPD indica que «los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos».

Entendemos que la figura de un delegado de protección de datos es compatible con la existencia de un responsable de seguridad, que se exige por la LOPD para los niveles de seguridad medio y alto. Recordamos que un responsable de seguridad en una organización se debe encargar de las funciones de control, coordinación y verificación de las medidas de seguridad aplicables. Salvo mejor criterio de la AEPD, parece que estas figuras pueden coexistir en una misma organización.

En cuanto a las tareas del DPO, el Informe de la CEDPO destaca las cuestiones siguientes:

    • Registro de las actividades de tratamiento. El/la DPO asesora sobre la estructura del registro de las actividades de tratamiento, así como las reglas aplicables a su mantenimiento. Posteriormente, el/la DPO verifica periódicamente que el registro esté completo y sea preciso (deber de supervisión) y facilita orientación al responsable del tratamiento (a los respectivos departamentos) para corregir lo que es incorrecto.
    • El RGPR prevé que la llevanza del registro de las actividades de tratamiento corresponde al responsable del tratamiento o a su representante (artículo 30). El DPO puede entonces encargarse de mantener el registro como representante del responsable. Esto no sería un caso de conflicto de intereses.
    • Evaluaciones de impacto relativas a la protección de datos (DPIA, en su acrónimo en inglés): las DPIAs se realizan por el responsable de tratamiento. El/la DPO asesora al responsable de tratamiento respecto de la obligación o la oportunidad de llevar a cabo una DPIA. Posteriormente, el/la DPO emite su opinión sobre la pertinencia del análisis de riesgo realizado. Una vez que los riesgos se han mitigado, el/la DPO emite un dictamen sobre las medidas de mitigación para analizar la posibilidad de mitigar los potenciales riesgos remanentes.
    • Una de las tareas del/de la DPO que se podría agregar como una recomendación, y que sería una buena práctica de responsabilidad activa (accountability), sería la elaboración de un informe anual dirigido al más alto nivel jerárquico.

¿Cuándo es obligatoria en una organización la existencia de un DPO?

Tal y como señala el artículo 37 del REPD, el responsable y el encargado del tratamiento están obligados a designar un delegado de protección de datos en los siguientes supuestos:

    • Entidades públicas. Cuando el tratamiento lo lleve a cabo una entidad pública. Se exceptúan los juzgados y tribunales que actúen en ejercicio de su función judicial.
      El GT29 aborda, en el Documento WP 243, de 13 de diciembre de 2016, en particular el concepto de «entidad pública», considerando que, a falta de una definición en el REPD, deberá ser cada Estado miembro el que tenga que concretar qué se entiende por tal. El GT29 recomienda que en aquellos casos en los que una organización se rija por el derecho público en la prestación o gestión de servicios, tendrá obligación de designar a un DPO, como, por ejemplo, pasaría en nuestro País con los colegios profesionales. En todo caso, cuando una persona u organización preste o gestione servicios públicos, incluso aunque no tenga la obligación de designar a un DPO, las Autoridades de Protección de Datos, en el citado Informe, recomiendan que lo haga y que dicha designación se refiera a todos los tratamientos de datos que se realicen.

En todo caso, habremos de esperar la próxima reforma de la LOPD para ver qué rumbo toman estas recomendaciones.

    • Entidades de naturaleza privada que realizan tratamientos de datos «especiales» a gran escala:

a) Atendiendo a su naturaleza, alcance y fines. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
Cabe preguntarse qué se entiende por actividades principales. A este respecto, el Considerando (97) del REPD señala que las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares, como ocurre, por ejemplo, en los tratamientos de datos personales llevados a cabo en un hospital o por una compañía de seguridad privada (en tal sentido ratifica el GT en el WP 243, de 13 de diciembre de 2016).

(97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos (…) si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares (…).

Por otro lado, para arrojar algo de luz a lo que se debe entender como «observación habitual y sistemática», el GT29, en el anteriormente citado Informe de diciembre de 2016, parte de la aclaración que se contiene en el Considerando (24) del REPD. Indican que son todas las formas de seguimiento en Internet, la posterior elaboración de un perfil o incluso el uso con fines de publicidad comportamental. Pero no solo estos casos. El GT29 aclara que han de entenderse incluidos también otros tratamientos que pueden suponer una observación habitual y sistemática.

Considerando (24): (…) Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

En cuanto a los criterios de designación, el Informe de la Confederation of European Data Protection Organitations (CEDPO) lo interpreta en los términos siguientes:

    • «Actividades principales» debe interpretarse de acuerdo con la descripción del objeto social de la organización y los ingresos de la cuenta de pérdidas y ganancias.
    • «Gran escala» debe entenderse según un enfoque basado en el riesgo (en lugar de utilizar únicamente criterios como el número de empleados o el «volumen» de datos personales procesado en un cierto período de tiempo).
    • «Observación de interesados» debe excluir las actividades de supervisión de TI que cualquier organización debe realizar en la actualidad para los fines de (i) ciber(seguridad); (ii) proteger los sistemas y activos de la organización (incluyendo la propiedad intelectual e industrial y la información confidencial, así como los datos personales almacenados o tratados de otra forma por la organización); y (iii) cumplir con las leyes e instrucciones regulatorias (por ejemplo, obligaciones de protección de datos, acciones de lucha contra el fraude y blanqueo de capitales).

b) Atendiendo a las categorías especiales de datos que se tratan. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de:

    • − Categorías especiales de datos personales (artículo 9 del REPD): que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud y vida u orientación sexual de una persona física.
    • − Datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del REPD.

Para aclarar lo que se entiende por «tratamientos a gran escala» (no se define en el Reglamento) debemos partir por el contenido del Considerando (91) y una explicación adicional dada por el Grupo de Trabajo del Artículo 29.

91) Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos (…).

El GT29, en su Informe WP 243, proporciona algunos ejemplos, como la cantidad de datos personales tratados o el número de interesados a los que se refieren.

    • En el resto de casos, no se exige la existencia de un DPO, tal y como señala el artículo 37.4 del REPD: «En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados».

Según adelantó la propia Agencia (9ªSesión Anual Abierta de la AEPD, celebrada en Madrid, en mayo de 2017) las entidades que deben contar con un delegado de protección de datos, por entender que cumplen los criterios anteriores son, entre otras:

    • • Entidades aseguradoras y reaseguradoras;
    • • Distribuidores y comercializadores de energía eléctrica o gas natural;
    • • Entidades responsables de sistemas de información crediticia;
    • • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles;
    • • Centros sanitarios;
    • • Centros docentes que ofrezcan enseñanzas regladas. Universidades;
    • • Colegios profesionales;
    • • Entidades dedicadas al juego on line.

En la misma línea, y como importante referencia, destacamos el artículo 35 del anteproyecto de reforma de la LOPD, donde establece, en forma de numerus clausus, en que supuestos procede el nombramiento de un DPD:

    • a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
    • b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
    • c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
    • d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
    • e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    • f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
    • g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
    • h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
    • i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
    • j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
    • k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    • l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
    • m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
    • n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
    • o) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. 

Además de los supuestos obligatorios para la designación de un DPD previstos en el artículo 37.1 del REPD y detallados en el meritado artículo 35 del anteproyecto de reforma de la LOPD, los responsables y encargados podrán voluntariamente designar un DPD y potenciar el cumplimiento preventivo de sus obligaciones a través de esta figura. Además, el artículo 65.4 del citado anteproyecto prevé la posibilidad de que la AEOPD remita las reclamaciones al DPD a los efectos previstos en el artículo 38, con el objeto de impulsar la resolución amistosa en el seno de la entidad.

Debemos indicar que, en todos los casos, el responsable o el encargado del tratamiento deben publicar los datos de contacto del delegado de protección de datos (no se especifica dónde, por lo que parece razonable publicarlo en el sitio web de la organización) y los comunicarán a la autoridad de control, según reza el articulo 37.7 del REPD. A este respecto, el Dictamen WP 243 del Grupo del artículo 29, aclara que el Reglamento no exige que se publique el nombre del DPO, siendo por tanto algo que, como buena práctica, deben considerar en su caso el responsable del tratamiento y el DPO. El Dictamen añade que los datos de contacto del DPO deben de estar disponibles tanto para los interesados como para la autoridad de supervisión, llegando a indicar que la comunicación con esta última debe de ser en el idioma de la misma, además de llevarse a cabo a través de canales de comunicación segura, a fin de asegurar la confidencialidad.

Tal y como propone Recio Gayo, parece que lo procedente es dar publicidad formal a los delegados de protección de datos. Señala este autor que «(…) dado el objetivo de que la publicación de los datos de contacto del DPO puede servir para que sea contactado directamente por los interesados, y a pesar de que tanto el Reglamento como el GT29 no se pronuncian al respecto, cabría considerar que en el caso de la comunicación de los datos de contacto a la autoridad de protección de datos, quizás se deba articular alguna forma de publicación de los mismos, tal y como ocurre en otros Estados miembros de la Unión Europea donde ya se cuenta con la figura del DPO, como por ejemplo en Luxemburgo, donde la National Commission for Data Protection ha publicado ya una lista de DPOs». Miguel Recio Gayo. Cit ut Supra.

Respecto a la publicación de los datos de contacto del DPO, el Informe de la CEDPO dispone lo siguiente:

Las organizaciones deben poder proporcionar datos de contacto genéricos, tales como dpo@company.com. La organización debe poder decidir el nivel de información a proporcionar para garantizar una comunicación fluida con las partes interesadas externas (incluyendo, pero no limitado a los/as interesados/as) así como el respeto por la privacidad del/de la DPO: Podemos sugerir la siguiente redacción: «El artículo 37.7 no requiere que los datos de contacto que se publiquen incluyan el nombre del/de la DPO. El responsable de tratamiento y el/la DPO son quienes deben decidir lo que es necesario y útil como a las circunstancias particulares de que se trate».

Las Autoridades de Protección de Datos inciden, en el citado Dictamen, en que el DPO, para poder ser considerado como tal, tiene que cumplir con los requisitos establecidos en el Reglamento.

Es decir, si se designa de manera voluntaria un DPO, por no existir obligación de hacerlo en la organización, para que sea considerado como tal deben observarse los requisitos del REPD.

Si se suscitan dudas al respecto de la designación o no de un DPO, la meritada Directriz WP 243, recomienda realizar un análisis interno a fin de determinar si se debe de cumplir o no con dicha obligación, de manera que ello permita demostrar que se han tenido en consideración los factores relevantes, debiendo documentarse.

Finalmente, y en la línea de lo dicho anteriormente, el anteproyecto de reforma de la LOPD, en su artículo 35.3 exige a los responsables y encargados que comuniquen a la AEPD, o Agencias autonómicas competentes las designaciones y ceses de los DPD, en el plazo de 10 días. La Agencia hará públicos estos datos a través de su sede electrónica (artículo 35.4):

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria. 

4. La Agencia Española de Protección de Datos mantendrá una relación actualizada de delegados de protección de datos que será accesible por medios electrónicos. 

Supuestos especiales

En el caso de grupos empresariales, el apartado segundo del artículo 37 del ROPD permite que se nombre un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

En los supuestos de administración pública, según el apartado 3.º de dicho artículo 37, se permite que se designe un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

La figura del delegado de protección de datos

a. Cualificación del DPO. Tal y como indica el artículo 37.5 del REPD, el DPO debe ser designado atendiendo a sus cualidades profesionales y, en particular, se refiere expresamente el Reglamento a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones asignadas.

El Reglamento Europeo, como vemos, no establece ningún criterio de titulación para los DPD, debiendo tener en cuenta, y así lo ha señalado la propia AEPD, que la certificación se constituye como un instrumento de garantía y transparencia para los responsables y encargados de tratamiento, pero no es única vía de acceso. Esta certificación, como señalaremos en el apartado siguiente, será realizada por entidades certificadoras acreditadas por la Entidad Nacional de Acreditación (ENAC), habiéndose ya publicado, en el mes de julio de 2017, los esquemas de dicha certificación.

Destacamos, por otro lado, como el artículo 36 del anteproyecto de reforma de la LOPD establece que “el delegado de protección de datos, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación”.

En el meritado Esquema de la AEPD de certificación de delegados de protección de datos, se recogen las “Competencias” requeridas a este puesto, las cuales reproducimos a continuación:

El DPD deberá reunir conocimientos especializados del Derecho y la práctica en materia de protección de datos. Se han identificado, en consecuencia, aquellos conocimientos, habilidades o destrezas necesarias que tiene que saber o poseer la persona a certificar para llevar a cabo cada una de las funciones propias del puesto de Delegado de Protección de Datos. 

Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas: 

1. Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos 

2. Identificación de las bases jurídicas de los tratamientos 

3. Valoración de compatibilidad de finalidades distintas de las que originaron la
recogida inicial de los datos 

4. Determinación de la existencia de normativa sectorial que pueda determinar
condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos 

5. Diseño e implantación de medidas de información a los afectados por los
tratamientos de datos 

6. Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados 

7. Valoración de las solicitudes de ejercicio de derechos por parte de los interesados 

8. Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado 

9. Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia 

10. Diseño e implantación de políticas de protección de datos 

11. Auditoría de protección de datos 

12. Establecimiento y gestión de los registros de actividades de tratamiento 

13. Análisis de riesgo de los tratamientos realizados 

14. Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos 

15. Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos 

16. Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados 

17. Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos 

18. Realización de evaluaciones de impacto sobre la protección de datos 

19. Relaciones con las autoridades de supervisión 

20. Implantación de programas de formación y sensibilización del personal en materia de protección de datos. 

En otro orden de cosas, el Dictamen del Grupo de Trabajo del Artículo 29, ya mencionado anteriormente (WP243), entiende que, para determinar el nivel de experiencia, lo importante es considerar la sensibilidad, complejidad y el volumen de datos objeto de tratamiento.

En este sentido, el Considerando (97) REPD dice que el conocimiento especializado necesario del DPO se «debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos».
El Dictamen se refiere, igualmente, a las cualidades profesionales del DPO, destacando que lo fundamental es considerar que este profesional tenga experiencia, conocimiento y práctica, en derecho nacional y europeo sobre protección de datos. Concretamente, sobre el sector y modelo de negocio de la organización, en el ámbito privado, y sobre las reglas y procedimientos, en el sector público.

En este apartado, las conclusiones del informe de la Confederation of European Data Protection Organitations (CEDPO) son las siguientes:

  1. A la vista de las tareas que se confían al/a la DPO, se requieren cualidades de distinta naturaleza, incluyendo conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos, así como habilidades de comunicación. El/la DPO debe velar por que sus funciones se lleven a cabo por él/ella mismo/a y/o por su equipo, formado por profesionales de diferentes perfiles, incluyendo, pero no limitado a personas con titulación en Derecho o informática. La organización que nombra a un/a DPO debe facilitar al/a la DPO recursos que reúnan estos diferentes perfiles.
  2. El RGPD exige que «[E]l delegado de protección de datos será designado atendiendo a (…) sus conocimientos especializados del Derecho (..)». La función del/de la DPO debe estar abierta a cualquier persona, cualquiera que sea su formación profesional o perfil curricular, y este requisito puede ser satisfecho incluso por profesionales que no cuenten con un título en Derecho. El texto no debe interpretarse de manera restrictiva; de lo contrario el riesgo es que los responsables y encargados considerarán fundamentalmente contratar abogados/as como DPOs.

Del mismo modo el meritado Dictamen del GT29, recomienda que las Autoridades de Protección de Datos que promuevan formación adecuada y regular para los DPOs.

En relación con este punto, se debe destacar que la AEPD, en su Plan Estratégico 2015-2019, ya prevé diseñar formación específica dirigida a DPOs y a profesionales de la privacidad. 

Igualmente, el Informe de la CEDPO trata la formación del DPO:

Los/as DPO deben tener la oportunidad de mantenerse actualizados/as respecto a los desarrollos en materia de protección de datos en el sentido más amplio del término, incluidas actualizaciones legislativas, nuevas tecnologías, cuestiones internacionales, técnicas de auditoría… El nivel de conocimientos de los/las DPO debe incrementarse constantemente, mediante su participación en cursos de formación de protección de datos y otras formas de desarrollo profesional, como su participación en foros de protección de datos, talleres de trabajo, etc. El Grupo de Trabajo del Artículo 29 debería dejar claro que este tipo de desarrollo profesional continuo por parte de los/as DPOs es, en realidad, un requisito implícito de carácter obligatorio de conformidad con los arts. 37.5 y 38.2. Además, para cumplir con el espíritu del requisito de accountability del art. 5.2, los/las DPO deben poder acreditar su desarrollo profesional continuo.

 

b. Perfil del DPD.

Del REPD se desprende que el DPD ha de ser una persona. No obstante, es posible, y en algunas organizaciones será necesario, que el DPD esté respaldado por una unidad de protección de datos, pudiendo incluso, haber organizaciones en las que sea necesario que existan DPD para ámbitos funcionales o territoriales específicos. En estos casos, debería existir una única persona que sea quien asuma formalmente la posición de DPD.

Según el apartado 6.º del artículo 37 del REPD, el DPO puede formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. Incluso el DPO puede desempeñar otras funciones y cometidos. si bien siempre que no den lugar a conflictos de intereses (artículo 37.6).

En el supuesto de DPD con una relación de servicios profesionales es posible que el contrato se formalice con una persona jurídica. La recomendación de las autoridades es que haya una persona responsable última dentro de la entidad que presta el servicio.

Para el Informe de CEDPO:

  1. El tamaño y las actividades de cada organización, así como su condición privada/pública determinarán si la decisión apropiada es un/a DPO interno/a o externo/a.
  2. Hay casos en los que podría tener sentido compartir el/la mismo/a DPO externo, como en el caso de pequeñas organizaciones y organizaciones que se ocupan de actividades de tratamiento de datos similares.
  3. Los/as DPOs externos/as pueden incluir personas jurídicas, aunque la organización cliente puede esperar una cierta estabilidad, en la medida en que sea compatible con las leyes locales, con respecto a la(s) persona(s) física(s) que acabe(n) finalmente asumiendo las tareas de DPO subcontratadas.
  4. La elección entre un/a DPO interno/a o externo/a no debe quedar influenciada por la protección laboral de los/las DPOs internos/as.

c. Responsabilidad. No puede obviarse que la designación de un DPO no exime a la propia institución u organización de responsabilidad de cuanto al cumplimiento de las obligaciones del Reglamento u otras contempladas en el elenco normativo sobre protección de datos. Sí que entendemos que podría caber una responsabilidad por vía de repetición, en los casos de delegados externos, por parte del responsable o encargado del tratamiento que hubiera sido sancionado por el incumplimiento o defectuosa observancia de las funciones que el propio Reglamento establece para el DPO. Por tanto, parece evidente que el profesional externo a la organización que presta sus servicios en esta materia cuente con un seguro de responsabilidad civil suficiente.

Respecto a la responsabilidad, el Informe de CEDPO se pronuncia de la siguiente forma:

  1. El/la DPO no debería tener una responsabilidad individual en el RGPR por tratamientos de datos: la organización es la responsable de cualquier incumplimiento.
  2. La organización puede decidir tomar acciones, de acuerdo con la ley local, contra un/a DPO negligente, tal y como sería el caso respecto de cualquier otro/a empleado/a o contratista que pueda ser considerado responsable en última instancia de los daños y perjuicios (por ejemplo, multas, prohibiciones de procesamiento, etc.) sufridos por la organización.

d. Deber de secreto. Tal y como establece el artículo 38.5 del REPD, el DPO está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

e. Posición del DPO en la entidad. El artículo 38 del REPD señala que el responsable y el encargado del tratamiento:

  1. Garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos.
    Para facilitar el objetivo de cumplimiento (compliance) con el Reglamento y asegurar la aproximación de la privacidad desde el diseño, el Dictamen WP 243 recomienda que las organizaciones incorporen procedimientos dirigidos a informar y consultar al delegado de protección de datos. De tal forma que estos protocolos o guías permitan la participación el DPO reduciendo los riesgos en el tratamiento de datos.
    El Dictamen pone como ejemplo de acciones de participación de los DPO:
  1. ser invitado a reuniones relativas a la gestión de la organización;
  2. recibir información relevante de forma puntual a fin de que muestre su parecer;
  3. ser consultado cuando se produzca una violación de datos u otro incidente de seguridad.
  • Respaldarán al DPO en el desempeño de las funciones facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
    El Dictamen WP 243 del GT29 recomienda que, desde la dirección de la organización, se apoye las funciones del DPO; se le permita disponer de tiempo suficiente para el desempeño de sus funciones sobre todo cuando desarrolle su actividad a tiempo parcial o desempeñe otras funciones simultáneas; se le asignen recursos económicos, materiales y humanos adecuados; se comunique su designación a toda la organización; se facilite su formación continua o se le dé el acceso necesario a todas las áreas de la organización de las que puede recibir tanto apoyo como información para el desempeño de sus funciones.
  • Garantizarán que el DPO no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
    El Dictamen WP 243 del GT29 resalta que la «independencia» del DPO, entendida como «autonomía» para el desempeño de sus funciones, es una de las garantías básicas que establece el REPD, y que, por tanto, tienen que asegurar quienes lo designen.

Dicha «autonomía» del DPO debe entenderse, a la vista del Reglamento y de las directrices del GT29, como una garantía frente a posibles injerencias en el desarrollo de sus funciones. Es decir, la autonomía está estrechamente relacionada con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos personales. Cualquier tipo de injerencia en el desarrollo de las funciones del DPO, incluida, por ejemplo, el no proporcionar los recursos necesarios para el desarrollo de sus funciones, implicaría vulnerar su estatuto jurídico e incluso podría llegar a vulnerar también el derecho fundamental a la protección de datos personales. Miguel Recio Gayo. Cit. ut Supra.

La «Independencia y conflicto de interés» se trata en el Informe CEDPO, en el sentido siguiente:

    • De nuevo, el tamaño y las actividades de cada organización deben determinar la estructura de DPO más adecuada. Si se trata de un/a DPO interno/a pero a tiempo parcial, así como si se trata de un/a DPO externo/a, tendrían que existir salvaguardas específicas para detectar y adoptar soluciones alternativas si surge un conflicto de intereses.
    • La independencia del DPO no se debe interpretar para convertir al DPO en una (i) «mini-autoridad de protección de datos»; (ii) el/la CEO de la organización; o (iii) el representante de los interesado/as. La independencia del/de la DPO debe garantizarse con un/a DPO que tenga integridad y lealtad. De la misma manera, su relación con la organización debe estar de la «potestas» apropiada (lo que requiere un puesto patrocinado por los órganos de decisión de la organización, una línea de reporte funcional y recursos apropiados). El/la DPO debe tener una línea de reporte directo al Consejo de Administración –u órgano equivalente– de la organización o a un miembro de este, en relación a sus responsabilidades de DPO.
    • Los deberes de confidencialidad del/de la DPO respecto a la organización que lo/la designó deben clarificarse para garantizar (i) que la lealtad del/de la DPO respecto de su empleador (si es interno/a) o de su cliente (si es externo/a) no quede comprometida; y (ii) su adecuada integración en la organización como un/a «asesor/a de confianza».Los riesgos de conflicto de intereses pueden surgir si el puesto de DPO se sitúa en los departamentos de Seguridad, TI, RR.HH. u otros departamentos que tomen decisiones sobre las actividades de tratamiento de datos.

 

No podrá ser destituido ni sancionado por desempeñar sus funciones, lo que supone una garantía esencial en el estatuto jurídico del DPO.
El Dictamen WP 243 del GT29 explica que dicha «inmunidad» del DPO no implica que no pueda ser despedido por motivos objetivos, que incluso podrían entenderse referidos a un mal desempeño de sus funciones o un incumplimiento de sus obligaciones ya sea como empleado o consultor.

Rendición de cuentas. El DPO debe rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado, tal y como reza el articulo 38.3 del Reglamento Europeo.

En cuanto a la posición del DPO el Informe de la CEDPO señala lo siguiente:

    • El art. 38.3 estipula que el/la DPO informará directamente al más alto nivel jerárquico del responsable o del encargado. Esto requiere reforzar la autonomía y relevancia de los/las DPOs y requiere que la organización del responsable o del encargado vincule a los/las DPOs al más alto nivel jerárquico (como el Consejo de Administración o un miembro de este). Por ejemplo, la estructura organizativa debe garantizar que:
    • El/la DPO tenga acceso directo a la alta dirección y sin filtros, esto es, sin nivel intermedio entre el/la DPO y la alta dirección. Esto ayudará a garantizar que los/las DPOs no tengan conflictos de intereses respecto a su función como DPO y por lo tanto gocen de suficiente protección en el desempeño de sus tareas.
    • El respectivo Consejo o miembro del Consejo actúe como supervisor funcional y administrativo del/de la DPO, con responsabilidades respecto de las cuestiones relativas al personal y presupuesto del/de la DPO.
    • La línea de reporte del/de la DPO a la alta dirección pueda ser claramente identificada (por ejemplo, en un organigrama).

En lo que concierne a la ubicación física y accesibilidad de los DPO, el Informe de la CEDPO indica:

    • La ubicación física específica de DPOs de un Grupo empresarial o DPOs de una organización que cuente con varios establecimientos parece irrelevante hoy en día. Su accesibilidad, una involucración en el negocio apropiada y una buena «red» local (por ejemplo, contando con profesionales de privacidad locales que sirvan de enlace), serían los elementos clave a tener en cuenta para asegurar una protección efectiva.
    • La accesibilidad del/de la DPO no depende necesariamente solamente de sus propias habilidades, sino de la combinación de sus habilidades y las de su «red» local, por ejemplo, los mencionados enlaces locales de privacidad, para asegurar el conocimiento local jurídico y de lengua apropiados, cuando sea necesario. El Grupo de Trabajo recomienda que, para garantizar la accesibilidad, «la comunicación tenga lugar en la lengua o lenguas utilizadas por las autoridades de control y los interesados». Esta recomendación puede plantear problemas prácticos si no aporta mayor precisión. El RGPR no puede esperar que cualquier DPO de Grupo empresarial hable las 24 lenguas de la UE o de cada establecimiento de la UE de su Grupo. Por lo tanto, sugerimos que se añada que no se requiere que el/la propia/a DPO hable los idiomas de todos los países donde el responsable/encargado está establecido pero que, en la práctica, esta necesidad puede ser satisfecha a través de traducciones de documentos y de los enlaces locales que asistan al/a la DPO. El RGPR es otra pieza de cómo se construye el mercado interior de la UE y no debería imponer ninguna restricción a la libertad de circulación de los profesionales y servicios de los DPOs dentro de la UE. El requisito del idioma no debe ser un obstáculo para la construcción de la UE.

El anteproyecto de reforma de la LOPD, dedica un artículo a la posición del DPD, reproduciendo en gran medida el contenido del Reglamento:

Artículo 37. Posición del delegado de protección de datos. 

1. El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. 

2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. 

3. El responsable y el encargado del tratamiento pondrán a disposición del delegado de protección de datos los medios materiales y personales que resulten precisos para el adecuado desempeño de sus funciones, asignándole cuando proceda personal subordinado así como locales, instalaciones y equipos. 

4. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 6 de esta ley orgánica. 

5. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento, proponiéndoles las medidas necesarias para evitar la persistencia en esa conducta. 

Finalmente, el anteproyecto de reforma de la LOPD contiene, en su artículo 38, la forma de actuar del delegado en el supuesto de reclamación ante las autoridades de protección de datos. Se recoge la posibilidad que el afectado se dirija al DPD de la entidad, antes de reclamar ante la AEPD o Agencia autonómica que se trate, debiendo resolver en el plazo máximo de dos meses.

Del mismo modo, en el caso de reclamación ante la Agencia, ésta puede remitir la misma al DPD, en el caso que no lo hubiera hecho previamente el afectado, teniendo un plazo de un mes para responder.

Señala el precepto:

Artículo 38. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos. 

1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos será posible, con carácter previo a la presentación de reclamaciones contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, que el afectado se dirija al delegado de protección de datos de la entidad contra la que se reclame. 

En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. 

2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes. 

Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VII de esta ley orgánica y en sus normas de desarrollo. 

Modelo de certificación como Delegado de Protección de Datos

La AEPD junto con la Entidad Nacional de Acreditación (ENAC) han publicado su esperado modelo de certificación como Delegado de Protección de Datos, que deberá ser utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En la misma línea, la AEPD ha impulsado la creación del Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos, del que forman parte asociaciones y entidades representativas de varios sectores, así como las Autoridades de Protección de Datos de Cataluña y País Vasco.

Tal y como señala la propia nota de prensa de la AEPD, el 13 de julio de 2017, ésta se convierte en la primera Autoridad europea que realiza un Esquema de certificación de DPD.

“La AEPD ha optado por promover un sistema de certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados (…).

La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la AEPD ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a Delegado de Protección de Datos (…)”.

El Esquema de certificación de DPD de la AEPD se estructura en tres partes:

    • la AEPD como propietaria y responsable del esquema,
    • ENAC como encargada de los requisitos que deben cumplir los certificadores y, finalmente,
    • las propias entidades de certificación.

En este sentido, tal y como señala la propia Agencia, «el modelo (…)  funcionará a través de dos esquemas de certificación de la siguiente forma:

    • En primer lugar, existirá un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
    • En segundo lugar, habrá otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación».

Tanto el desarrollo del esquema por la AEPD como los procesos que las entidades de certificación seguirán para evaluar las competencias del DPD se han establecido siguiendo los criterios de la norma internacional ISO/IEC 17024:2012.

 

INFOGRAFÍA SOBRE EL DELEGADO DE PROTECCIÓN DE DATOS.

delegado

29 de agosto de 2017.

Javier Alvarez Hernando. Abogado.

Mas información en el PRACTICUM PROTECCIÓN DE DATOS 2018.

 


¿Necesita adaptar su empresa a los cambios normativos impuestos por el Reglamento Europeo de Protección de Datos?


 

Valóranos en Google
Si esta información le ha sido útil le agradecemos mucho que nos valore con 5 estrellas en GOOGLE haciendo click en el siguiente botón.
Otros lectores ya lo han hecho y esto es lo que opinan...

Recibe presupuesto sin compromiso

¿En qué podemos ayudarle?

Rellene el formulario o llámenos al +34 983 377 435. Estaremos encantados de atenderle.

Nombre*
Protección de Datos*