martes, 21 de enero de 2014

El DPO en Alemania (I)

Uno de los aspectos más interesantes del nuevo marco jurídico sobre protección de datos que se discute en estos momentos en la UE es la necesidad de nombrar un Data Protection Officer (DPO). 

En otros post de esta serie, les he comentado cómo algunos países de nuestro entorno ya contemplan esta figura en sus leyes nacionales.

Debemos recordar que el DPO tiene su origen en el que todavía es el instrumento básico de protección de datos de la UE, la Directiva 95/36/CE. Su art. 18 recoge la obligación de notificar a la autoridad de control los tratamientos de datos que se están efectuando. Sin embargo, también permite a los Estados Miembros disponer la simplificación o la omisión de este trámite en el caso de que “el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales”. Se señalan dos cometidos fundamentales para esta figura:

“- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
- llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.”

Ciertos Estados Miembros han optado por incluir esta posibilidad en sus normas nacionales; otros, como España, no. Ya ven: un ejemplo más de que la transposición de la Directiva 95/46/CE al derecho interno no ha conseguido la armonización esperada. Pero esa es otra historia...

En Alemania, donde sí es obligatorio nombrar un DPO, lo más complicado es pronunciar el nombre de esta figura: "Datenschutzbeauftragter". Sí, una palabra. Cualquiera que pueda pronunciarla sin respirar, sólo por eso, debería tener un título de DPO (o Datenschutzbeauftragter) honorario. Veamos alguna de las peculiaridades de la regulación alemana.

Básicamente, una empresa debe nombrar un DPO en dos supuestos:
- Cuando una compañía tiene diez o más empleados que participan en el tratamiento de datos de forma automatizada.
- Cuando una compañía tiene veinte o más empleados que efectúan un tratamiento manual de datos.

Las funciones de DPO pueden ser desempeñadas tanto por un empleado de la compañía como por un profesional externo. Si se trata de un empleado de la compañía, deberá depender o reportar directamente a la Dirección.

El DPO, como también prevé el reglamento europeo en su versión actual, debe llevar a cabo su trabajo con absoluta independencia, y sólo podrá ser cesado en supuestos muy concretos. Por este mismo motivo, se suele considerar que algunos cargos podrían presentar incompatibilidades con las funciones de DPO (por ejemplo, los Responsables de Sistemas, los Jefes de Asesoría Jurídica o de RRHH). 

No se crean que esto es todo lo que les tengo que contar sobre el Datenschutzbeauftragter. Voy terminar el post aquí porque se está haciendo muy largo (y además ya es tarde). No se pierdan la segunda parte.

No hay comentarios: