El Reglamento General de Protección de Datos Personales de la Unión Europea (GDPR, por sus siglas en inglés)[1], norma de referencia en la materia, consagra la figura del Delegado de Protección de Datos (DPD) o Data Privacy Officer (DPO).[2] El DPD es una figura clave para garantizar el cumplimiento de la normativa. Está llamado a apoyar al responsable o al encargado del tratamiento de datos en la adopción de las medidas técnicas necesarias para demostrar el cumplimiento del reglamento[3] y juega un rol importante en asegurar que se cumplan adecuadamente los derechos de los interesados.
Los DPD pueden ser empleados del responsable del tratamiento o pueden ser externos. En algunos casos su designación es obligatoria, como es el caso de las autoridades u organismos públicos -y esto, con independencia de los datos que traten dichas autoridades[4]. En otros casos la designación de un DPD es facultativa. Sin importar que el DPD preste sus servicios a la administración pública o al sector privado, esta figura está llamada a servir de interlocutor entre la organización que representa con la autoridad de control en materia de protección de datos personales[5] y con los interesados.
Si pudiéramos asemejar el DPD a una figura utilizada actualmente en el ordenamiento jurídico dominicano, una buena comparación sería con el Oficial de Cumplimiento regulado por la Ley No. 155-17 contra el Lavado de Activos y el Financiamiento del Terrorismo. Como es conocido, el Oficial de Cumplimiento es el ejecutivo de alto nivel designado por el sujeto obligado, que cuenta con reconocida capacidad técnica y que se encarga de vigilar la estricta observancia del programa de cumplimiento. De igual modo sirve de enlace del sujeto obligado con la Unidad de Análisis Financiero (UAF) y el ente supervisor. Tanto el Oficial de Cumplimiento como el DPD realizan labores inclinadas al cumplimiento de la normativa y fungen como interlocutores con los organismos estatales de control.
En una publicación anterior[6] se abordó la necesidad de una reforma integral al marco legal en materia de protección de datos personales en la República Dominicana[7], recomendando sustituir la ley vigente por una ley que regule el tratamiento de datos personales de manera integral para todas las actividades públicas y privadas[8]; que proteja de manera efectiva los derechos de los interesados y que se adapte mejor a los avances tecnológicos y la economía digital.
Una consecuencia de la referida reforma sería que, al complejizarse el cumplimiento en materia de protección de datos tanto para las autoridades u organismos públicos como para las empresas, existiría la oportunidad y la necesidad de incluir en la normativa dominicana la figura del DPD. Los anteproyectos de reforma a la ley de protección de datos existentes actualmente en el país apuntan a esa dirección.
Sin lugar a duda, la creación de la figura del DPD en el país representaría nuevas oportunidades de especialización y de ejercicio profesional. Asimismo, significaría nuevas exigencias para los organismos públicos y las empresas. Todo lo anterior a cambio de una
mayor garantía de los derechos vinculados a la protección de datos personales.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
[2] La figura del DPD existía antes de la aprobación del GDPR. Aunque no era una figura exigida por la Directiva 95/46/CE, en algunos países de la Unión Europea ya tenían la práctica de nombrar Delegados de Protección de Datos
[3] Las medidas deben tomarse en consonancia con el principio de responsabilidad proactiva, , principio rector del GDPR. El principio de responsabilidad proactiva implica que el responsable del tratamiento debe estar en la disposición de demostrar que aplica medidas apropiadas para garantizar que el tratamiento de datos se realiza conforme al GDPR
[4] El GDPR establece en su artículo 37 que el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
[5] La autoridad de control en materia de protección de datos es una autoridad pública independiente que se encarga de la aplicación de la normativa de protección de datos. En el caso de Francia, por ejemplo, la autoridad de control es Commission Nationale de l'Informatique et des Libertés – CNIL. En el Caso de España, la Agencia de Protección de Datos.
[6] Annabelle Liz Fernández, ¿Debemos reformar la Ley Núm. 172-13 de Protección de Datos Personales en la República Dominicana?
[7] Específicamente a la Ley No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.
[8] Una de las soluciones que aportaría una reforma es la creación de un ente de la administración facultado para supervisar el ejercicio de los derechos vinculados a la protección de datos personales. En diversas iniciativas de reforma a la Ley No. 172-13 se propone la creación de una Autoridad Nacional de Protección de Datos. Dicha autoridad estaría facultada garantizar el cumplimiento del marco legal, establecer las directrices de política general y criterios a seguir en materia de protección de datos; investigar e intervenir en materia de protección de datos, así como imponer sanciones administrativas cuando aplique.