El Delegado de Protección de Datos (DPD): análisis del estatuto jurídico de un elemento orgánico clave para el cumplimiento del principio de responsabilidad proactiva

• Autores: Yasna Vanessa Bastidas Cid
• Directores de la Tesis: José Vida Fernández (dir. tes.)
• Lectura: En la Universidad Carlos III de Madrid ( España ) en 2024
• Idioma: español
• Tribunal Calificador de la Tesis: Manuel Fernández Salmerón (presid.), María Nieves de la Serna Bilbao (secret.), Ricard Martínez Martínez (voc.)
• Programa de doctorado: Programa de Doctorado en Derecho por la Universidad Carlos III de Madrid
• Materias:
  • Ciencias jurídicas y derecho
    • Derecho y legislación nacionales
      • Derecho constitucional
      • Derecho publico
• Enlaces
  • Tesis en acceso abierto en: e-Archivo
• Resumen

  • La llegada de Internet y el flujo de ingentes cantidades de datos provocó, a nivel europeo, el desarrollo de una normativa de protección de datos de primera generación de especial intensidad, contenida en la Directiva 95/46/CE1 que, impactó de forma directa y determinante en las organizaciones, tanto públicas como privadas, que recopilan y utilizan datos personales en su funcionamiento ordinario o como actividad principal. La tensión entre este sistema de protección datos y las necesidades de un creciente sector digital, dio lugar a que el propio regulador europeo considerase necesario encontrar un nuevo equilibrio entre el desarrollo económico basado en datos y la protección de los derechos y libertades fundamentales de los individuos.

    Se produjo así un cambio de paradigma en la política de datos de la Unión Europea con una nueva generación de normas encabezada por el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), y por el que se derogó la Directiva 95/46/CE a partir del 25 de mayo de 2018 tras una vacatio legis de dos años.

    Este nuevo orden jurídico para la protección de datos nace de la necesidad de realizar una reforma normativa de gran calado en la Unión Europea, a partir de las exigencias derivadas de la transformación digital que conduce a una nueva «sociedad del dato» en la que se hace necesaria una completa revolución jurídica-digital con la consolidación de nuevos derechos, el aumento de la seguridad jurídica, la implantación de nuevos métodos de resolución de problemas y una regulación armonizada, homogénea y vinculante directamente.

    Por su parte, en el derecho interno, el legislador español aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD) que vino a sustituir a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que transpuso la Directiva 95/46/CE, norma que fue derogada y sustituida por el RGPD.

    El cambio más importante que trae el RGPD es que, mientras la Directiva 95/46/CE se basaba en gran medida en una lógica de declaración de procedimientos preliminares, aquél se basa en una lógica de conformidad y de «responsabilidad proactiva o accountability», que es el principio que mejor define el cambio de paradigma que incorpora el Reglamento.

    El principio de «Accountability o de Responsabilidad Proactiva» que se remonta a 1980 cuando fue reconocido por la OECD en los Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales. En el año 2010 el Grupo de Trabajo del artículo 29, desarrolló en su Dictamen 3/2010, de 13 de julio, el concepto de responsabilidad proactiva, basado en la accountability. Como señala el Dictamen, «un principio reglamentario de responsabilidad requeriría expresamente que los responsables del tratamiento de datos aplicaran medidas adecuadas y eficaces para poner en práctica los principios y obligaciones de la Directiva y demostrar este extremo cuando se les solicitara». De tal manera que, se establece un nuevo modelo en el que la necesidad de cumplimiento de los principios establecidos por el RGPD y la necesidad de acreditar en cada momento que efectivamente se está cumpliendo, exige la puesta en marcha de una serie de medidas concretas basadas en una política garantista y preventiva.

    El RGPD describe este principio como la necesidad de que los responsables del tratamiento apliquen medidas técnicas y organizativas apropiadas, no sólo para garantizar el cumplimiento de la normativa, sino también para demostrar ante interesados y autoridades de supervisión, dicho cumplimiento. Así pues, al hablar de Responsabilidad proactiva o accountability nos centramos en dos elementos: a) la necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos; y b) La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces.

    Es en este contexto donde precisamente entra en juego la figura del Delegado de Protección de Datos (en adelante, DPD), cuando de lo que se trata es de garantizar que las organizaciones sean diligentes en la configuración y establecimiento de una estructura técnica y organizativa encaminada a garantizar ese necesario respeto hacía valores que suponen un pilar fundamental de nuestra vida colectiva.

    El DPD se sitúa como eje de las numerosas medidas que componen el marco del principio de responsabilidad proactiva y demostrable establecidos por el RGPD. Esta figura constituye uno de los elementos clave del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.

    La Sección 4 del Capítulo IV, artículos 37 a 39 del RGPD, regula de forma detallada la figura del DPD y las circunstancias a tener en cuenta para la designación, estableciendo una serie de supuestos de designación obligatoria por parte de los responsables y encargados cuando: el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o, las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

    En el ordenamiento jurídico español la mencionada regulación se ve complementada con lo dispuesto en el Capítulo III del Título V de la LOPDGDD, en cuyos artículos 34 a 37 se contienen algunas especialidades directamente aplicables a nuestro derecho interno. Así, en lo relativo a la autonomía de la voluntad de las organizaciones públicas o privadas en relación con el nombramiento del DPD, se amplía el espectro de sujetos «responsables» obligados a su designación, ex artículo 34 LOPDGDD.

    El presente trabajo persigue profundizar en el conocimiento de la figura del DPD, desde su origen en las primeras legislaciones nacionales y europeas, hasta su presente incorporación y regulación en el RGPD y en el ordenamiento jurídico español. En concreto se pretende desarrollar una investigación sobre los fundamentos jurídicos, origen y consolidación de la figura del DPD en el contexto de la Unión Europea; identificar la normativa que establece el estatuto jurídico del DPD y cómo se ha plasmado en el ordenamiento jurídico español; precisar cuándo el responsable o encargado del tratamiento están obligados a contar con un DPD y por qué es conveniente que designen de manera voluntaria un DPD en los casos en que no existe obligación legal; delimitar cuál es la posición jurídica y la naturaleza de la relación laboral del DPD en la estructura organizativa y la compatibilidad de su coexistencia con otras figuras de la entidad, tales como, el responsable de seguridad, el director de cumplimiento normativo (Compliance Officer) y el delegado de prevención; analizar las funciones del DPD y su compatibilidad con el perfil jurídico o técnico de ejecución. Incluyendo el estudio del nuevo rol del DPD como mediador entre el afectado y la entidad responsable del tratamiento; analizar el acceso a la profesión de DPD con el fin de determinar si es necesario establecer como requisito la realización obligatoria de los cursos de certificación o de otra formación profesional equivalente, que permita acreditar la cualificación y nivel de conocimientos suficientes en materia de protección de datos; ilustrar el perentorio perfil jurídico del DPD como requisito indispensable para la correcta aplicación, interpretación y garantía de los principios y normas del RGPD, y la LOPDGDD, y otras áreas del ordenamiento jurídico que coexisten con las normas de protección de datos. Y, por último, describir el impacto internacional del RGPD en las regulaciones internacionales de protección de datos, en particular, en la incorporación de la figura del DPD en EE.UU. y las legislaciones de protección de datos de América Latina.

    La idea de abordar la figura del DPD surge precisamente de los problemas que presenta la falta de determinación del perfil profesional y de un estatuto jurídico propio de esta figura en la aplicación práctica del derecho a la protección de datos, sobre todo cuando el RGPD lo ha configurado como un elemento fundamental para el cumplimiento efectivo del principio de responsabilidad proactiva.

    Durante el desarrollo de esta investigación ha sido necesario no solo aproximarse a la doctrina existente sobre la figura del DPD, sino también directamente a un gran número de documentos normativos y no normativos, de ámbito estatal y europeo. En este sentido han tenido gran calado las Directrices del GT 29 (actualmente, Comité Europeo de Protección de Datos [CEPD]), de la AEPD, de las autoridades de control de otros ordenamientos jurídicos, y el informe de la Confederation of European Data Protection Organitations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos, de 15 de febrero de 2017, donde importantes asociaciones europeas en esta materia han fijado unos criterios interpretativos comunes, respecto al DPD. Asimismo, ha sido necesario el estudio de la jurisprudencia emanada por las diferentes jurisdicciones competentes.

    La presente investigación se ha dividido en seis capítulos que pretenden, precisamente, aportar claridad y recursos que contribuyan a la configuración de un perfil, y un estatuto jurídico íntegro del DPD, no solo desde el punto de vista normativo, sino también académico o formativo, conforme a sus funciones específicas, a su independencia en el ejercicio de estas últimas y al enfoque de riesgo que promueve la normativa al tratar la figura como una manifestación del principio de responsabilidad proactiva.

    El primer capítulo de este trabajo hace referencia, por un lado, al conjunto de instrumentos normativos vigentes a nivel europeo que han ido configurando el derecho fundamental a la protección de datos personales, y que vinculan e impactan directamente en la legislación de los Estados Miembros, primando incluso sobre el derecho nacional de estos últimos. De otro lado, el capítulo aborda la normativa que protege y garantiza el derecho fundamental a la protección de datos en el derecho interno español, que impregnado, por cierto, del derecho de la Unión, se vuelve indispensable para el estudio del enfoque que le ha dado el legislador español a la figura del DPD.

    El segundo capítulo de esta investigación recoge los factores que hacen del DPD una figura clave de cara al cumplimiento de la normativa. Así, aborda los fundamentos jurídicos que motivan la inclusión de la figura del DPD en la normativa europea, el origen del DPD y su consolidación tanto a nivel europeo como nacional, con especial referencia a la regulación de la figura en Alemania, Reino Unido Post-Brexit, y España. Esta parte nos aclara que el espíritu del legislador europeo a la hora de regular la figura del DPD, en un contexto como el actual, caracterizado por una sociedad de la información con rápidos y continuos cambios, posee un enfoque esencialmente preventivo y proactivo.

    El capítulo tercero de este trabajo examina el estatuto jurídico del DPD en el contexto del RGPD y la LOPDGDD de España, y cómo ha sido abordado actualmente por la normativa, bajo la impronta del principio de responsabilidad proactiva. Específicamente, desarrolla las prescripciones de ambos cuerpos normativos en cuanto a la designación o nombramiento del DPD, la posición jurídica dentro de la organización, y la naturaleza jurídica de la relación laboral. Además, este estatuto jurídico de la figura del DPD, así como sus funciones que seguidamente se analizan, le aleja sustancialmente de otras figuras existentes dentro de la organización o en el campo de la protección de datos y seguridad de la información, por esta razón haremos mención especial de sus esenciales diferencias e (in)compatibilidades con el Responsable de Seguridad del Esquema Nacional de Seguridad, el Responsable de Cumplimiento Normativo, y la figura del Delegado de Prevención. Sin duda se trata de una serie de factores que ayudarán a perfilar qué tipo de figura orgánica y qué clase de puesto de trabajo representa el DPD, así como también facilitará el encuadre de esa misma figura cuando se acuda a un proceso de externalización de tales servicios profesionales.

    El cuarto capítulo de esta investigación dedica un exhaustivo análisis de las funciones que en la práctica deberá realizar el DPD. Con todo, el RGPD le asigna al DPD unas funciones mínimas que se proyectan, tanto sobre los responsables y encargados del tratamiento, como de los interesados y las autoridades de control. Por tanto, esta parte nos aporta las características más importantes de la figura del DPD, pues el análisis de estos factores nos ayudará a determinar dos cuestiones importantes: por un lado, el perfil profesional que debe ostentar la figura, su cualificación, habilidades y competencias; y por otro lado, si las características y requisitos exigidos actualmente por la normativa interna, para desempeñar dichas funciones, son idóneos en consideración a los objetivos del principio de responsabilidad proactiva.

    El quinto capítulo de este trabajo está dedicado al análisis del perfil profesional requerido para el desempeño de las funciones estudiadas en el capítulo cuarto de esta investigación, individualiza los factores que el responsable o encargado del tratamiento deberán considerar en cuanto a los conocimientos, competencias, habilidades y certificaciones a la hora de nombrar un DPD, con especial énfasis en sus conocimientos especializados en derecho. De tal manera que, el análisis de estos factores nos permita determinar si existe la necesidad de reformar el perfil profesional actual del DPD; o de incorporar una nueva profesión en el ámbito nacional; o de complementar las que ya existen, todo con el objeto de garantizar el principio de accountability, y de propender a su eficaz implantación.

    El sexto y último capítulo de esta investigación, recoge el estado actual de la figura del DPD en el panorama internacional. Esta última parte realiza un análisis pormenorizado de la situación de esta figura en las legislaciones de privacidad y protección de datos de EE.UU., y de algunos países de América Latina, respectivamente. Es conveniente aclarar que este análisis se efectúa teniendo en cuenta las particularidades de cada región. Por un lado, se considera el marco constitucional, la legislación sectorial y la autorregulación en materias de privacidad del sistema norteamericano. Por otro lado, se examina la incorporación de la figura del DPD en América Latina, no sin antes advertir que el modelo de protección de datos personales latinoamericano se encuentra en una fase de transición, por tal razón, este estudio abordará solo aquellos ordenamientos latinoamericanos cuyos proyectos de ley o leyes en vigor contemplen en sus disposiciones, de alguna manera, la incorporación de la figura del DPD. De tal manera que, serán objeto de estudio las legislaciones sobre protección de datos de Argentina, Chile, Brasil, México, Colombia, Honduras, Uruguay, Ecuador, Panamá y Perú.

    Siendo el DPD una figura de reciente incorporación en el ordenamiento jurídico español, aún está atravesando las primeras etapas de su formación y afianzamiento, por lo que aun ofrece un perfil difuso. Sin embargo, su protagonismo es innegable en el nuevo marco reforzado de cumplimiento basado en la responsabilidad proactiva, de tal manera que, para aquellos que nos dedicamos al estudio, investigación y promoción del derecho fundamental a la protección de datos personales, la indeterminación del perfil y del estatuto jurídico del DPD en la normativa, se vuelve una oportunidad para contribuir en una futura pero inminente mayor cobertura legal en cuanto a su perfil, como a su posicionamiento en el contexto de su actividad profesional.