En la UE y en España como parte de la misma, predomina uno de los marcos de protección de datos más sólidos en el mundo del cumplimiento de la ley. Esto es un activo y al mismo tiempo una responsabilidad, ya que el marco legal debe ponerse en práctica y aplicarse en las actividades cotidianas.
El objetivo del DPO es asesorar e informar en el marco de protección de datos del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, RGPD, de manera comprensible no solo para los expertos en protección de datos, sino también para cualquiera que esté interesado en este tema complejo.
Véase: https://www.boe.es/doue/2016/119/L00001-00088.pdf
El DPO ha de llevar a cabo su labor en el ámbito de la confianza que han de mostrar las organizaciones cuando solicitan su orientación y las mejores prácticas en relación con el procesamiento de datos personales. Debido a esta cooperación e intercambio mutuo de opiniones, la gran mayoría de los profesionales de las FF y CC de S consideran que la protección de datos es un elemento importante en la calidad del trabajo de los agentes de la autoridad en las administraciones públicas y organizaciones privadas.
Con la recopilación y el procesamiento de datos en los centros de trabajo de las FF y CC de S y con los medios disponibles, sin que se diga o especifique, grandes cantidades de datos personales se almacenan en los archivos de las FF y CC de S y son analizados por sus expertos e intercambiados entre las unidades de las FF y CC de S, entre distintas Comunidades Autónomas, Estados miembros de la UE e incluso terceros, lo cual ha de ser motivo de preocupación y de ocupación.
En estos tiempos que vivimos, no puede una persona apuntarse a una carrera popular o comprar unas entradas para el Teatro, sin que seamos vulnerables al acceso a nuestros datos personales y alguien los quiera utilizar con fines comerciales. Asimismo en un escenario de crimen organizado transnacional, con el poder de recopilar y analizar grandes cantidades de datos, se podría hacer un uso aún más siniestro de nuestra información personal, pareciendo que vuelven los conceptos del omnipresente y vigilante Gran Hermano o de la ubicua Policía del Pensamiento de la premonitoria obra 1984,de Orwell.
El principio popular de que todo lo que no está prohibido está permitido, no se aplica en el contexto de la protección de datos. En la medida en que sea necesario para el logro de los objetivos de las FF y CC de S, la organización puede procesar información, incluidos datos personales, solo para fines especiales según lo establecido en su marco legal.
En la UE de fronteras abiertas, las amenazas a nuestra seguridad no están disminuyendo. Los grupos de delincuencia organizada, los ataques terroristas, las redes paneuropeas de fraude y los cárteles internacionales son solo algunos ejemplos en este contexto. Están surgiendo nuevos peligros en forma de delito cibernético, fraude de IVA y otros delitos sofisticados que abusan de la tecnología moderna y las libertades ofrecidas por las fronteras abiertas de la UE.
Por ejemplo, según el diario ABC: en 2011 era detenido en Berlín Maqsood Lodin, un joven austriaco recién salido de Pakistán al que se intervino una tarjeta de memoria que contenía un vídeo porno aparentemente inocuo, pero en el que análisis forenses digitales permitieron descubrir 141 documentos que se desvelaron como los más importantes intervenidos nunca a Al Qaida junto con los encontrados en Abbottabd tras la caza a Osama Bin Laden. La técnica utilizada para ocultar esta información se llama esteganografía,..
Para contrarrestar estas amenazas y proteger la seguridad y los medios de vida de las personas, las FF y CC de S han de disponer de personas cualificadas, que tengan las adecuadas competencias y un acceso a recursos sin precedentes.
Sin embargo, los agentes de las FF y CC de S, que actúen como DPO no hacen su labor armados con armas de fuego, cazando criminales en las calles, sino que como otros investigadores y profesionales, tales como las personas que llevan a cabo actividades de policía científica o electrónica forense, sus acciones no son de campo sino como función de apoyo y liderazgo, proporcionando orientación a las autoridades, recibiendo y distribuyendo información y facilitando la coordinación de operaciones conjuntas.
La aplicación del RGPD como principal instrumento de protección de datos, es de gran importancia para disponer de una legislación clara, suponiendo un marco legal sólido, diseñado para salvaguardar los derechos fundamentales de las personas.
Sin embargo, al igual que la importancia de emplear salvaguardas fuertes para la protección de datos es imprescindible, no cabe duda de que el trabajo las FF y CC de S que actúen como DPO requiere una capacidad superior para ser eficaces y aprender, entender, razonar, tomar decisiones y formarse una idea determinada de la realidad. El desafío legislativo en el área de la aplicación del RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD, consiste en aplicar el marco legal de modo tal que equilibre los intereses fundamentales de la libertad y la seguridad.
Véase: https://boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf
Según el Artº 4, RGPD: «datos personales» es toda información sobre una persona física identificada o identificable.
Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Existen categorías especiales de datos personales que, por su naturaleza, pueden representar un riesgo mayor para los interesados, cuando se procesan, y necesitan una protección especial. Por lo tanto, el procesamiento de estas categorías especiales de datos debe permitirse únicamente con medidas de seguridad específicas.
Según el Artº 9.1., RGPD:
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
Existen excepciones como las que se señalan en los apartados siguientes cuando en resumen, g)el tratamiento es necesario por razones de un interés público esencial, h) el tratamiento es necesario para fines de medicina preventiva o laboral, ei) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
El tratamiento de datos personales es mucho más fácil de definir, ya que Según el Artº 4, RGPD, «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
El DPO ha de ser una parte independiente en la organización de las FF y CC de S y el punto de contacto para la gestión común de todos los problemas de protección de datos. Según el Artº 37 del RGPD, Designación del delegado de protección de datos:
- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
Asimismo, según el Artículo 34. Designación de un delegado de protección de datos, de la LOPDGDD, 1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades, incluyendo en su apartadoñ) Las empresas de seguridad privada.
Su perfil único dentro de la arquitectura de las FF y CC de S, permite que el DPO se involucre en los procesos de planificación desde el principio: de ese modo, el DPO no solo proporciona orientación previa, sino también seguimiento posterior y también participa en el desarrollo de los sistemas, la ejecución de las operaciones en curso y la formación de agentes de la autoridad: evaluación ex – post.
Al mismo tiempo, el DPO también es funcionalmente una parte independiente de la organización, al tener un perfil como asesor informado pero independiente. En caso de incumplimiento, el DPO puede escalar el asunto mediante procedimientos predefinidos dirigiéndose primero al responsable de la unidad, después a las instancias superiores y finalmente a la autoridad de control externa, si es necesario en caso de incumplimiento grave o muy grave.
Más concretamente, según el Artículo 36. Posición del delegado de protección de datos, de la LOPDGDD:
- El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
- Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
- En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica.
- Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
La principal tarea del DPO es garantizar la legalidad y el cumplimiento del RGPD en lo que respecta a la protección de datos.
Una parte central de esta función es proporcionar orientación y asesoramiento independiente, en particular a los Departamentos y Unidades operativas, pero también a todas las otras partes de la organización en lo que respecta al procesamiento de datos personales por parte de las FF y CC de S.
La aplicación del marco reglamentario y legal, a veces puede ser una tarea compleja y jurídicamente difícil, por ejemplo, al determinar si los datos pueden enviarse a terceros o no, o al intercambiar bases de datos de cooperación operativa entre FF y CC de S.
Además, el DPO es el principal interlocutor para la autoridad de control en materia de protección de datos.
Según la LOPDGDD, Artículo 37. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.
- Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame.
En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
- Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes
Lo que parece ser una contradicción a primera vista es, de hecho, un concepto muy efectivo: el DPO, como parte de la organización, trabaja para habilitar los elementos operacionales de acuerdo con el marco legal de protección de datos aplicable.
En este contexto, el DPO proporciona asesoramiento profesional, fiable y orientado a la solución por parte de todas las FF y CC de S. A la organización le interesa tener un juicio interno aunque independiente, sobre dónde se debe trazar una línea entre las demandas operativas y el derecho constitucional de protección de datos personales, ya que según la LOPDGDD en su PREÁMBULO, señala:
I La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española.
Las FF y CC de S no pueden ni tienen ningún interés en desempeñarse fuera del marco de protección de datos aplicable.
Dondequiera que se procesen datos personales, es esencial realizar una evaluación de riesgos y deben determinarse e implementarse las salvaguardas necesarias. Esto incluye la privacidad desde el diseño para cualquier nueva infraestructura técnica.
La implementación debe ser monitoreada, verificada y mantenida durante todo el ciclo de vida de la base de datos. Dado que estos proyectos a menudo involucran procesos tecnológicos complejos, el DPO también ha de contar con experiencia en evaluación de riesgos de ciberseguridad. Los especialistas DPO han de examinar regularmente las medidas de seguridad de la información tanto para los proyectos planificados como para los existentes.
El DPO también documenta todas las operaciones que procesan información personal, incluidos los datos de las personas de la organización de las FF y CC de S, las cuales están obligadas a notificar al DPO sobre cualquier operación de este tipo. Esta notificación le permite al DPO estar al tanto de todos los procesos en curso y planificados para asegurar que se implementen las medidas de protección de datos adecuadas.
En particular, en el área sensible de las investigaciones sobre la delincuencia grave y organizada o el terrorismo, la protección de los datos de las personas es vital. Las exigencias del RGPD sobre de protección de datos protegen a las personas para que no se tenga acceso a la información sobre ellos y sus familias, dentro de la organización o se filtre a personas no autorizadas fuera de la misma.
Además, el DPO ha de estar involucrado en un perfil con capacidades de asesoría en negociaciones con terceras organizaciones y, en particular, en verificar si se puede garantizar un nivel adecuado de protección de datos.
En su función supervisora, el DPO ha de verificar en las FF y CC de S, los siguientes elementos de protección de datos personales, según el Esquema AEPD DPD 13 de junio 2018 Versión 1.3, de la Agencia Española de Protección de Datos, donde señala que el POD tendrá como mínimo las siguientes funciones:
- a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- b) Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales,
- c) Supervisar la asignación de responsabilidades,
- d) Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento
- e) Supervisar las auditorías correspondientes;
- f) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos
- g) Supervisar su aplicación de conformidad con el artículo 35 del Reglamento;
- h) Cooperar con la autoridad de control;
- i) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y
- j) Realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto.
Una de las tareas que corresponde al DPO es la de supervisar los siguientes elementos en la organización de las FF y CC de S, quedando registrado en cumplimiento del principio de responsabilidad activa:
Política de privacidad.
1.- Responsable del tratamiento.
2.- Finalidad del tratamiento.
3.- Legitimación del tratamiento.
4.- Conservación de datos.
5.- Destinatarios de cesiones o transferencias.
6.- Derechos de las personas interesadas.
En este último punto supervisará el procedimiento para el ejercicio de cualquiera de estos derechos o para revocar el consentimiento.
Véase como ejemplo el Registro de actividades de tratamiento del Ministerio del Interior, a 7/12/2018, Registro de Actividades de Tratamiento de la Dirección General de la Guardia Civil: