El Parlamento Europeo ha dictado nueva normativa en mazo de este año, en concreto un Reglamento General , que trata todos los temas del tratamiento de datos de carácter personal en la Unión Europea, y servirá, entre otras cuestiones, para proteger la privacidad en las redes sociales, la contratación en el cloud computing, la regulación del Big Data, el uso de la información biométrica o el procesamiento de datos personales con fines comerciales.
La aprobación definitiva del Reglamento, prevista para este año, introduce importantes novedades que supondrán un impacto significativo para las entidades del sector público y privado, que estarán obligadas a adaptar sus estructuras organizativas para adecuarse a los requisitos establecidos en la nueva legislación.
Entre las novedades, se introduce la obligatoriedad para algunos responsables y encargados del tratamiento de contar con un Delegado de Protección de Datos, que ayudará a las entidades a supervisar la observancia interna del Reglamento.
Con relación a qué entidades deberán designar esta figura, en el caso del sector privado será obligatoria para aquellas empresas que traten datos de un gran número de interesados (más de 5.000 durante un periodo de doce meses); o datos considerados especialmente sensibles, de localización, datos relativos a menores de 13 años o empleados a gran escala; así como las entidades que realicen un seguimiento periódico y sistemático de los interesados.
En el sector público, cualquier autoridad u organismo que efectúe un tratamiento de datos personales deberá designar un Delegado.
En el supuesto de que una entidad forme parte de un grupo de empresas, el Reglamento permitirá nombrar un Delegado principal responsable, siempre que se garantice que resultará fácil acceder a esta figura desde cualquier emplazamiento.
Con esta nueva legislación se apuesta claramente por un perfil profesional del Delegado, que deberá ser designado atendiendo a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, así como a su capacidad para ejecutar las tareas mínimas que le impone el Reglamento.
En este mismo sentido, el Reglamento prevé expresamente la posibilidad de externalizar esta figura al permitir que pueda ser un empleado de la entidad o desempeñar sus tareas sobre la base de un contrato de servicios.
Asimismo, la figura gozará de una protección especial contra el despido por lo que será designado para un mandato mínimo de cuatro años en el caso de un empleado, o de dos años en el caso de un proveedor de servicios externos. Durante su mandato sólo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones. No obstante, el nombramiento no requerirá necesariamente la ocupación a tiempo completa del empleado correspondiente.
El Reglamento contiene las tareas mínimas que se deberán encomendar y que, en resumen, consisten en su implicación en todas las cuestiones relacionadas con las protección de datos que se susciten en el seno de las entidades.
Finalmente, la designación será un elemento a tener en cuenta a la hora de cuantificar la sanción que pueda imponer la autoridad de control, que puede alcanzar hasta 100.000.000 de euros o el 5% de su volumen de negocios anual a escala mundial en el caso de una empresa, si esta última cifra fuera mayor, según establece el régimen sancionador previsto en el Reglamento europeo.
C. Díaz. julio 2014