El 25 de mayo de 2016 entró en vigor el nuevo Reglamento Europeo de Protección de Datos – Reglamento (UE) 2016/679 (GDPR) , que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.
¿Quién necesita un DPO?
Debemos centrarnos en la sección 4ª, artículo 37 del Reglamento para encontrar la parte de la legislación que corresponde al DPO:
Sección 4: Delegado de protección de datos
Artículo 37: Designación del delegado de protección de datos
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Los apartados que aplican a Corredores y Corredurías son el b) y el c).
Sobre el apartado c) y dado que según el artículo 9, son categorías especiales de datos personales las siguientes: Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, tenemos claro que los corredores y corredurías, si trabajan con seguros de salud, manejan datos de categoría especial, por lo que en principio podemos entender que deben disponer de un DPO.
La duda que han generado ambos apartados, y que está puesta en la mesa en estos momentos, ya en el Real Decreto no se especifica claramente, y para la que todavía no ha dado respuesta la AEPD, es qué se considera «a gran escala».
De hecho, en la web de la AEDP, en el apartado de «preguntas frecuentes», sobre la obligatoriedad de tener un DPO, responde citando directamente el artículo 37, sin especificar.
¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos?
Para ampliar información, nos ofrece la alternativa «más información», con una serie de enlaces, entre los que destacamos la 9ª Sesión Anual AEPD “Preguntas de los asistentes”
Este nuevo enlace sí nos ofrece más información, y especifica (sin que tenga carácter «legal» o vinculante, simplemente a modo orientativo) que podrían considerarse incluidas en el artículo 37, entre otras:
– Entidades aseguradoras y reaseguradoras
– Distribuidores y comercializadores de energía eléctrica o gas natural
– Entidades responsables de sistemas de información crediticia
– Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
– Centros sanitarios
– Centros docentes que ofrezcan enseñanzas regladas, universidades
– Colegios profesionales
– Entidades dedicadas al juego on line…
En este caso, incluye a las entidades aseguradoras, pero EXCLUYE a mediadores de seguros.
¿Quién puede ser DPO?
Otro punto importante que hay que considerar con respecto al DPO es el perfil del mismo. En este momento se están ofreciendo cursos para formar a Delegados de Protección de Datos, y, con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPO.
Este Esquema es un sistema de certificación que permite certificar que los DPO reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.
En la misma página de la AEPD se aclara que esta certificación no es obligatoria para poder ejercer como DPO, y que se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.
Asimismo, actualmente todas las entidades que han solicitado la acreditación ante ENAC como entidad de certificación, tienen una designación provisional como entidad de certificación ante la AEPD.
Consulta Entidades Acreditadas
Esta designación provisional tiene como objeto facilitar la adquisición de experiencia en la puesta en práctica del Esquema, tiene un vigencia máxima de un año y no es renovable. En este periodo, la entidad de certificación provisional deberá realizar al menos dos convocatorias del examen de certificación de DPO.
Si transcurrido un año desde la designación provisional la entidad de certificación no ha conseguido la acreditación por ENAC, siempre que sea por razones imputables a la entidad de certificación, la designación provisional se extinguirá automáticamente.
Cuando la entidad de certificación designada provisionalmente convoque los exámenes, debe informar a los solicitantes de su condición de provisionalidad y de la posibilidad de no obtener el certificado de DPO aunque el candidato haya superado el examen, si finalmente la entidad no consigue acreditarse.
¿Qué podemos deducir de todo esto?
Que en este momento, y a pesar de la inminente entrada en vigor del nuevo RD, las directrices no están claras, hay lagunas, dudas y diferentes interpretaciones, por lo que debemos ser prudentes y esperar las pautas y guías que nos vaya dando la AEPD, que es quien realmente puede orientarnos al respecto. Sería absurdo invertir recursos en formar a un DPO o contratar a uno externo si finalmente no hay necesidad de disponer de esta figura.
Colegio de Mediadores de Seguros de La Coruña 