Javier Alvarez Hernando
Abogado. Delegado de Protección de Datos

28 de enero de 2019

 

I.-Revisión de las bases legales del modelo europeo de protección de datos.

La nueva regulación introducida por el Reglamento (UE) 2016/679, de 27 de abril (RGPD), con el desarrollo de la Ley Orgánica 3/2018, de 5 de diciembre (LOPD), ha supuesto una verdadera revisión de las bases legales del modelo europeo de protección de datos, fundamentándose ahora en criterios como la responsabilidad activa (accountability), la flexibilidad, la importancia del contexto en los tratamientos de datos y la cooperación entre autoridades con competencia en esta materia.

Y todo ello, como es lógico, afecta al sector legal, entendido como colegios profesionales y consejos de abogacía, y por supuesto, los propios abogados/as adscritos obligatoriamente a los mismos. Todos ellos deben adaptarse a la nueva regulación, revisando sus cláusulas informativas cuando recaban datos; elaborando el registro de actividades de tratamiento; realizando un análisis de riesgos para la seguridad de los sistemas de información y los derechos de los afectados, y, en su caso, una evaluación de impacto; estableciendo procedimientos para la notificación de quiebras de seguridad o ejercicio de derechos; etc.

II.-Regulación del delegado de protección de datos

Además, y en lo que ahora nos interesa, el RGPD incorpora como gran novedad, en su Sección 4ª (arts. 37 a 39 y Cons. 97) la figura del delegado de protección de datos, o DPO, por sus siglas en inglés (data protection officer). Por su parte, la LOPD, desarrolla el alcance, la intervención y la cualificación del DPO en sus arts. 34 a 37.[1]

El DPO, en el nuevo marco reforzado de cumplimiento basado en la responsabilidad activa, y desde un punto de vista general, es la persona encargada de informar a la entidad responsable (o al encargado del tratamiento) sobre sus obligaciones legales en materia de protección de datos; así como de velar o supervisar el cumplimiento normativo al respecto; y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable.

El DPO debe reunir conocimientos especializados del Derecho, práctica sobre protección de datos, y capacidad para desempeñar las funciones y las tareas que se le asignen(art. 37.5 RGPD). Estos requisitos pueden acreditarse por los medios correspondientes, incluidos los mecanismos de certificación, aunque no resulta obligatorio para la designación de un DPO (art. 35 LOPD). Un DPO requiere, en definitiva, de cualidades o competencias de distinta naturaleza, incluyendo conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos, así como habilidades de comunicación.

El art. 37.5 RGPD prevé que el DPO puede formar parte de la plantilla del responsable (o encargado) o desempeñar sus funciones externamente, en el marco de un contrato de servicios. Por su parte, los arts. 38.3 RGPD y 36.2 LOPD, al regular la posición del DPO, destacan su independenciaal señalar que el responsable y el encargado deben garantizar que el DPO no reciba ninguna instrucción, en lo que respecta al desempeño de dichas funciones. Igualmente, no puede ser destituido ni sancionadoen el desempeño de sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio.

El DPO debe rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento, debiendo garantizar que dichas funciones y cometidos no den lugar a conflicto de intereses.Esto supone que el DPO no pueda ocupar un cargo en la organización (junta de gobierno; gerencia, etc.) que le lleve a determinar los fines y medios del tratamiento de datos.

III.-Cuándo es necesario nombrar un delegado de protección de datos en un colegio de la abogacía o en un despacho de abogados/as.

 El RGPD (art. 37) da unas directrices generales acerca de qué entidades requieren el nombramiento de un DPO: a) cuando el tratamiento lo lleve a cabo una entidad pública, con independencia del tipo de datos que traten; b) cuando las actividades principales del responsable (o encargado) consistan en operaciones de tratamiento que requieren un seguimiento regular y sistemático de los interesados a gran escala; o c) cuando las actividades principales del responsable (o encargado) consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relacionados con condenas e infracciones penales.

Como vemos, estas directrices generales del RGPD contienen conceptos jurídicos indeterminados que pueden dificultar dilucidar cuando la norma exige el nombramiento de un DPO, sobre todo si hablamos de un despacho de abogados/as, como veremos posteriormente.

La LOPD, en su art. 34.1, se refiere a los supuestos en los que será obligatoria la figura del DPO, encontrándose en este listado, y en lo que aquí interesa, a) los colegios profesionales y sus consejos generales; y j) responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

Por tanto, a la vista de lo anterior,no hay dudas respecto a que los colegios de abogacía y sus consejos deban contar con un DPO, tanto por su condición de corporación de derecho público (art. 1 de la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionalesy art. 2.1 del Estatuto General de la Abogacía Española);como por constar expresamente en el listado que ha dispuesto la LOPD (art. 34.1.a).

Además, pueden disponer de un DPO (interno o externo) o el mismo para varias corporaciones colegiales (art. 37.3 RGPD).

¿Pero, qué ocurre con los profesionales de la abogacía? En primer lugar, debemos distinguir entre el abogado/a que ejerce de forma individual de aquel que lo hace en el seno de un despacho (con sus distintas formas jurídicas como una sociedad mercantil, sociedad profesional, comunidad de bienes, o por cuenta ajena).

A la vista del contenido del art. 37 RGPD podemos mantener que un despacho colectivo debe nombrar un DPO cuando su “actividad principal”consiste en el tratamiento“a gran escala” de datos relacionados con el derecho penal. Dudamos, por otra parte, que se pueda extender al ámbito del derecho administrativo sancionador, ya que el RGPD se refiere expresamente a sanciones en el orden penal.

Las «actividades principales» se consideran, por las Directrices del GT29, las operaciones clave necesarias para lograr los objetivos del responsable del tratamiento, es decir, cuando el tratamiento de datos es una parte indisociable de la actividad del abogado/a, lo cual parece que se cumple, si hablamos de un despacho de abogados/as dedicado al derecho penal, incluso cuando no sea en exclusiva a esta rama del Derecho.

En segundo lugar, ¿qué significa tratar datos penales a gran escala?  Para aclarar lo que se entiende por «tratamientos a gran escala» (no se define en el RGPD) debemos analizar el Considerando (91) y una explicación adicional dada por el Grupo de Trabajo del Artículo 29: “Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos (…)”.

Las Directrices WP 243 del GT29 recomiendan que se tengan en cuenta los siguientes factores para determinar si el tratamiento se debe entender que se realiza a gran escala:

  • el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • la duración, o permanencia, de la actividad de tratamiento de datos;
  • el alcance geográfico de la actividad de tratamiento.

El Informe de la CEDPO[2], por su parte, señala que el concepto de «gran escala» debe entenderse según un enfoque basado en el riesgo (en lugar de utilizar únicamente criterios como el número o el «volumen» de datos personales procesado en un cierto período de tiempo).

Pero, a la vista de lo anterior. ¿Qué número de asuntos penales sería el procedente para esa consideración de gran escala?, ¿con qué alcance geográfico, y cuántos procedimientos en esas zonas concretas?, etc. A nuestro entender, y a falta de concreción por parte de las Autoridades de Control o del Comité Europeo, la mayoría de los despachos en España (que, o bien son generalistas, o bien son penalistas, pero sin alcanzar el rango de “gran escala”), podrían escapar de la obligación de nombrar un DPO.

Del mismo modo, en las Directrices WP 243 del GT29, se aclara lo que NO se entiende que es un tratamiento a gran escala: “el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado”. Por tanto, cuando nos referimos al ejercicio individual, ese letrado/a no requiere nombrar un DPO.

Sin embargo, ya hemos referido que el art. 34.1.j menciona como necesario un DPO para los responsables de ficheros regulados por la normativa de prevención del blanqueo de capitales. En este sentido, el art. 2.1.ñ de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo incluye como sujetos obligados por esta norma, entre otros, a los abogados “cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria”.

Por tanto, con base en el principio de especialidad (lex specialis derogat legi generali), en cuanto la Ley especial prevalece sobre la Ley general (que ha sido calificado por nuestra jurisprudencia como principio general del Derecho), debe ser de aplicación especial la normativa de blanqueo de capitales, por lo que en los casos en los que el abogado/a que ejerce de forma individual y se dedique, entre otras labores, a las que refiere el citado precepto (2.1.ñ de la Ley 10/2010), no puede descartarse que se le debe exigir la designación de un DPO, salvo que la LOPD se esté refiriendo al Fichero de Titularidades Financieras. Lo mismo cabría concluir para los casos de ejercicio colectivo de la abogacía, si la actividad del despacho afecta a esas actividades.

IV.-Designación de un DPO e infracciones en protección de datos.

En todo caso, parece conveniente que los despachos de abogados/as no obligados con base en lo anteriormente expuesto, acuerden designar de manera voluntaria un delegado de protección de datos (art. 34.2 LOPD y 37.4 RGPD).  No solo por asegurarse un cumplimiento razonable de la normativa inspeccionando procedimientos o emitiendo recomendaciones al despacho responsable, sino que además resultaría de aplicación automática un “atenuante” ante posibles infracciones en protección de datos (art. 76.2.g LOPD en relación con el art. 83.2.k RGPD). A tal fin, debe entenderse que ese DPO ha sido formalmente comunicado a la autoridad de control, en el plazo de 10 días desde su nombramiento (art. 34.3 LOPD).

En materia infractora, destacamos que el incumplimiento de la obligación de designar un DPO, cuando sea exigible su nombramiento, se considera como infracción grave (art. 73.v LOPD); al igual que el no posibilitar la efectiva participación del DPO en todas las cuestiones relativas a la protección de datos, no respaldarlo o interferir en el desempeño de sus funciones (art. 73.w LOPD).

Por otro lado, no publicar los datos de contacto del DPO, o no comunicarlos a la autoridad de control, cuando su nombramiento sea exigible, es constitutivo de una infracción leve (art. 74.p LOPD).

El DPO debe ser designado, de forma expresa, por el responsable o encargado y debe comunicarse tal condición a la Autoridad de protección de datos, tal y como hemos referido, en el plazo de 10 días. El hecho de no existir esa designación se consideraría como práctica agresiva, según establece el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, por la modificación realizada con la Disposición adicional decimosexta de la LOPD.

[1]El Grupo de Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29 o GT29, que ha sido reemplazado por el Comité Europeo de Protección de Datos, según los arts. 68 a 76 RGPD) adoptó, en relación con los delegados de protección de datos, unas directrices (WP 243, revisadas el 5 de abril de 2017) que tratan de servir como guía u orientación para quienes deben cumplir con la obligación de designar un DPO, al igual que se dirigen a los propios delegados, a fin de delimitar sus funciones y responsabilidades.

[2]Resulta de gran interés, por otro lado, el documento«Posición de la Confederation of European Data Protection Organitations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos»,de 15 de febrero de 2017, donde importantes asociaciones europeas en esta materia han fijado unos criterios interpretativos comunes, respecto al DPO. Si bien, evidentemente, no es un instrumento normativo, si entendemos que tiene gran interés.

Otros artículos relacionados:

Valóranos en Google
Si esta información le ha sido útil le agradecemos mucho que nos valore con 5 estrellas en GOOGLE haciendo click en el siguiente botón.
Otros lectores ya lo han hecho y esto es lo que opinan...

Recibe presupuesto sin compromiso

¿En qué podemos ayudarle?

Rellene el formulario o llámenos al +34 983 377 435. Estaremos encantados de atenderle.

Nombre*
Protección de Datos*