La Proposta de Reglament General de Protecció de Dades, actualment en fase legislativa mitjançant procediment de Codecisió, a part d’intentar millorar les mancances de la vigent Directiva 95/46 CE, provoca un canvi radical en el sistema de protecció de dades de caràcter personal, ja que passarem d’una Directiva i 27 legislacions nacionals, a un únic marc legislatiu de referència en aquesta matèria. Entre les seves novetats, crea una figura ja existent en la normativa alemanya, el Delegat en Protecció de Dades o DPO (Data Protection Officer).
Sobre les seves funcions, tot i que caldrà esperar a veure com s’aprova el text final, podem avançar per “on poden anar les coses”.
En primer lloc, aquesta figura es preveu obligatòria per a totes les administracions públiques independentment de la seva mida, per les empreses privades de més de 250 treballadors o quan les activitats principals del responsable o l’encarregat del tractament consisteixin en operacions de tractament que, per raó de seva naturalesa, abast i / o fins, requereixin un seguiment periòdic i sistemàtic dels interessats.
El perfil professional del DPO, a part dels actes delegats que la Comissió Europea pugui dictar “per tal d’especificar els criteris i requisits aplicables a les activitats principals del responsable o l’encarregat del tractament que preveu l’apartat 1, lletra c), així com els criteris aplicables a les qualitats professionals del delegat de protecció de dades que preveu l’apartat 5 “i” per tal d’especificar els criteris i requisits aplicables a les tasques, la certificació, l’estatut, les competències i els recursos del delegat de protecció de dades que preveu l’apartat 1 “, haurà de respondre a” qualitats professionals i, en particular, als seus coneixements especialitzats de la legislació i les pràctiques en matèria de protecció de dades, ia la seva capacitat per executar les tasques que preveu l’article 37. El nivell de coneixements especialitzats requerit es determinarà, en particular, en funció del tractament de dades dut a terme i de la protecció exigida per les dades personals tractades pel responsable o l’encarregat del tractament “. Val a dir que encara que només s’esmenten coneixements en legislació sobre protecció de dades, el DPO haurà igualment tenir coneixements, en ser àrees interrelacionades, sobre Seguretat Informàtica, Esquema Nacional de Seguretat i Seguretat de la Informació, per al bon compliment de les funcions legalment atribuïdes i altres que de facto, “li puguin caure”.
Per salvaguardar la seva independència, s’estableixen una sèrie d’obligacions per als responsables i encarregats de tractament, com ara dotar de mitjans materials i humans suficients, que el seu mandat pugui ser sota la figura del contracte de prestació de serveis, que el seu mandat serà per períodes mínims de dos anys renovables i que les seves dades de contacte s’han de comunicar a l’autoritat de control de l’estat membre en qüestió i al públic en general ja que qualsevol interessat tindrà dret a contactar amb el DPO, i és aquí on tenim una de les seves funcions , la d’atendre les consultes, queixes i reclamacions dels afectats.
D’acord amb la proposta de Reglament, les seves funcions poden ser les següents:
“A) informar i assessorar el responsable o l’encarregat del tractament de les obligacions que els incumbeixen en virtut d’aquest Reglament i documentar aquesta activitat i les respostes rebudes;
b) supervisar la implementació i aplicació de les polítiques del responsable o l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la formació del personal que participa en les operacions de tractament, i les auditories corresponents;
c) supervisar la implementació i aplicació d’aquest Reglament, en particular pel que fa als requisits relatius a la protecció de dades des del disseny, la protecció de dades per defecte i la seguretat de les dades, així com a la informació dels interessats i les sol · licituds presentades en l’exercici dels seus drets en virtut d’aquest Reglament;
d) vetllar per la conservació de la documentació que preveu l’article 28;
i) supervisar la documentació, notificació i comunicació de les violacions de dades personals de conformitat amb el que disposen els articles 31 i 32;
f) supervisar la realització de l’avaluació d’impacte relativa a la protecció de dades per part del responsable o l’encarregat del tractament i la presentació de sol·licituds d’autorització o consulta prèvies, si són necessàries de conformitat amb el que disposen els articles 33 i 34 ;
g) supervisar la resposta a les sol·licituds de l’autoritat de control i, en el marc de les competències del delegat de protecció de dades, cooperar amb l’autoritat de control a sol · licitud d’aquesta o a iniciativa pròpia;
h) actuar com a punt de contacte per a l’autoritat de control sobre les qüestions relacionades amb el tractament i consultar amb l’autoritat de control, si escau, a iniciativa pròpia. ”
Fins aquí el que preveu la futura norma, però de facto un bon DPO ha de tenir altres competències professionals. Ja hem indicat que el nou sistema crea una norma marc, directament aplicable en tots els estats membres, de manera que tindrem una norma, almenys una autoritat de control per Estat Membre aplicant, interpretant i imposant sancions en virtut d’ella i 27 sistemes judicials controlant a aquestes autoritats de control i aplicant directament aquest Reglament. L’únic que ens diferenciarà dels nostres homòlegs europeus seran les normes i procediments de tramitació i resolució de processos judicials i administratius, que es regiran d’acord amb la normativa interna.
Per això ja no n’hi haurà prou amb estudiar els procediments de l’AEPD, les sentències de l’Audiència Nacional o el Tribunal Suprem o si l’article tal de la LOPD s’ajusta a la Directiva 95/46, sinó que caldrà comparar amb l’aplicació en fase administrativa o jurisdiccional que es faci en altres estats membres davant de casos idèntics. En aquest context, el Tribunal de Justícia de la Unió Europea tindrà molt a dir a l’hora d’unificar criteris interpretadors de la norma i les autoritats de control hauran de coordinar encara si cap més, del que estan ara.
Tenint en compte que una arma del DPO pot ser que un jutge o tribunal nacional plantegi una qüestió prejudicial, i que per a això haurà de saber el que està passant en altres estats membres, els idiomes es plantegen com a requisit ineludible per aquest professional. Seria d’agrair que després de l’entrada en vigor del futur Reglament, totes les pàgines web de les autoritats de control i la totalitat dels documents i actes administratius i judicials que en aquestes estiguen, a part de l’idioma oficial del país en qüestió, ho estiguin almenys, en un altre idioma de coneixement i ús generalitzat. Com a incentiu al coneixement d’altres idiomes, pot afegir que d’haver un marc normatiu comú, l’únic handicap a l’hora d’exercir com DPO en un altre estat membre serà el coneixement d’aquest idioma.
Francisco Ramón González-Calero Manzanares
Departament legal de Pedrosa Busquets