Nota de prensa / Nueva legislación de protección de datos de la UE
+
-
El Reglamento determina la obligatoriedad de contratar un DPO en organizaciones públicas y determinadas empresas privadas.
-
APEP reclama que se definan las características propias del profesional experto en protección de datos y resalta el valor de las certificaciones.
+
El Comité de Libertades Civiles – LIBE del Parlamento Europeo ha aprobado la propuesta de nueva legislación de protección de datos de la Unión Europea presentada por los negociadores del trílogo (discusiones a tres bandas entre la Comisión Europea, el Parlamento Europeo y el Consejo), que tiene como objetivo “dar a los ciudadanos el control sobre sus datos privados”. Y al mismo tiempo aportar claridad y seguridad jurídica a las empresas para impulsar la innovación y el desarrollo del mercado único digital”, además de “garantizar la fácil cooperación policial en la UE”.
El LIBE ha dado su voto de confirmación a los textos, reglamento y directiva, resultantes del acuerdo del pasado día 15 de diciembre en el trílogo. Se trata de un paso esencial en su tramitación. La publicación definitiva está prevista para la primavera del año 2016. El viernes 18 pasará por el Comité de Representantes Permanentes (Coreper). Después de la revisión de los juristas lingüistas volverá a Consejo para adopción y luego al Parlamento Europeo. Con este paquete legislativo se crea “un conjunto uniforme de normas de la UE ajustadas para la era digital”.
+
¿En qué casos será obligatorio contratar un DPO?
Tras años de deliberaciones y dudas al respecto, la Propuesta de Reglamento general de Protección de Datos establece que será obligatoria la contratación de un Delegado de Protección de Datos (DPO, por sus siglas en inglés) en casos concretos: en todas las organizaciones públicas (a excepción de los tribunales en ejercicio de la potestad jurisdiccional) y en determinadas organizaciones privadas, en general aquellas que desarrollen profilling o que traten datos de categorías especiales. En concreto, cuando “las actividades principales del responsable o del encargado consistan en tratamientos que, en virtud de su naturaleza, su alcance o finalidad, requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala”, como por ejemplo en actividades como la solvencia patrimonial, en la investigación de mercados o en controles asociados a la productividad o en el análisis de riesgos.
Asimismo, el DPO será obligatorio también cuando “las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de conformidad con el artículo 9 o de datos relativos a condenas penales y delitos mencionados en el artículo 9 bis”. Esto es, datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual, y datos relativos a condenas y antecedentes penales.
Por otra parte, hay que destacar que el párrafo cuarto incluye la posibilidad de que esta obligación pueda ser impuesta en otros casos cuando lo disponga el Derecho de la Unión o el del Estado miembro.
+
¿Cómo identificar un DPO?
Desde la Asociación Profesional Española de Privacidad (APEP) se recoge positivamente esta información, teniendo en cuenta que ya ha destacado, tanto a nivel nacional como europeo (siendo miembro fundador de la Confederation of European Data Protection Organisations-CEDPO) de la utilidad de la figura del DPO en aras de una mejor gestión de la protección de datos y la privacidad en las organizaciones y del respeto al derecho fundamental. Y también para promover la integración y toma en consideración de la privacidad como valor añadido de las empresas en un mercado global competitivo.
Asimismo, APEP reclama a las instituciones europeas que definan de la forma más concreta posible la figura del DPO, garantizando que estos profesionales tengan una formación y conocimientos adecuados y puedan ser identificados fácilmente. Parece oportuno destacar que la Asociación considera esencial la figura del profesional experto en privacidad y protección de datos, también, para dar garantía, confianza y seguridad en el mercado. Por este motivo, APEP ya trabaja para formar y acreditar a los profesionales expertos en privacidad en España, a través de su Certificación ACP (APEP-CertifiedPrivacy) y sus cursos de formación especializada, que a su vez sirven para conseguir la acreditación ACP.
Los conocimientos sobre protección de datos y privacidad son muchos y se requiere una actualización constante de los profesionales. Pues se trata de un tema sensible y de máxima relevancia y actualidad, debido fundamentalmente al acelerado desarrollo tecnológico. De esta manera, a modo de ejemplo, APEP organiza cursos de cloud computing, videovigilancia, medidas de seguridad, relaciones laborales, procedimiento administrativo sancionador, externalización de servicios, Privacy Impact Assessment, transferencias internacionales de datos, redes sociales, internet y cookies, aspectos jurídicos, menores…). Sólo los profesionales con un nivel alto de especialización acreditado deberían poder ser DPO.
La Certificación ACP se trata de una acreditación garantizada por un sistema de concesión transparente que permite a los profesionales avalar su alta especialización en la normativa de protección de datos de carácter personal y privacidad. Para su obtención se requiere demostrar los conocimientos teóricos necesarios y solvencia en el desempeño de competencias específicas. Se trata de una certificación, fiable y rigurosa, que cumple con los requisitos de calidad tal y como establece en el futuro Reglamento de la UE.
“El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura Norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto accountable, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Por otra parte, y sin duda será el interlocutor necesario con el regulador, con la Agencia Española de Protección de Datos, y el colaborador que sin duda la institución necesita”, comenta Ricard Martínez, presidente de APEP.
Notas de prensa publicadas por el Parlamento: