Archivo de la categoría: Protección de Datos

La AEPD, la Competencia y el DPD

En los últimos meses con la vorágine de la entrada en vigor del RGPD se están sucediendo los análisis, comentarios y reflexiones de cómo se realizará su aplicación práctica y el papel que adoptarán los órganos de control. Esta expectativa se ha visto incrementada por la inexistente norma que distribuya la actividad jurídica en esta materia, y que suponemos que limará nuestra vigente LOPD convirtiéndola en una norma plenamente adecuada a las exigencias propias y foráneas. Entre los elementos largamente debatidos se encuentra la figura del Delegado de Protección de datos, piedra angular de la nueva regulación, en el que su designación y posterior comunicación y publicación otorgará más transparencia a un sistema basado en la actual comunicación de ficheros a los órganos de control.

En este complejo entramado, en constante evolución,  debe cuidarse de las fáciles presunciones lógicas,  dado que solventan problemas cortoplacistas pero que pueden desembocar en problemas mayores. En esta tesitura, agradezco a mi compañero de Blog y despacho –Gonzalo Alvarez – siempre atento a la actualidad,  la remisión a la noticia referente a que la AEPD ha publicado un sistema de notificación electrónica para comunicar la designación del DPD. Con carácter general esta noticia puede considerarse como positiva, dado que parece dar cumplimiento al artículo 37.7 del RGPG, pero más allá de esa primera impresión aparecen las primeras sombras que posiblemente se disiparán con las aclaraciones que realicen los órganos de control.

En primer lugar, la Agencia parece tener información privilegiada, intuición o está interpretando extensivamente sus funciones, dado que dentro de las mismas y de sus competencias, no recuerdo que se encuentre el hecho de recibir notificaciones sobre los nombramientos y designaciones de los DPD´s. Cierto es que tiene alguna competencia residual o genérica en protección de datos, que pudiera absorber ese vacío, pero su utilización me abre alguna dudas más: ¿La Agencia Vasca y la Autoridad Catalana tienen la misma función receptora de comunicaciones de DPD debiendo esperar las respectivas Administraciones Autonómicas a la adecuación de sus órganos de control o únicamente lo realizará la AEPD?¿Es una de las funciones exclusivas de la AEPD? ¿Esa comunicación incorporada en su sede electrónica tiene la consideración de trámite administrativo y por tanto, finalizará con una resolución? y por último, ¿se está comunicando una designación a un Registro Público Administrativo -regulado por Ley- en el que terceros interesados podrán acceder a dichos datos o es simplemente un inventario de DPD´s?

En estos tiempos procelosos de la protección de datos debemos actuar con cautela y al mismo tiempo ser aventurados, pero sin ser aventados. Creo que, aunque las funciones de la AEPD de recibir las comunicaciones de nombramientos de los DPD´s recaerán finalmente en ella por Ley, deberían evitarse prisas innecesarias que generan una sensación de improvisación más que de sosiego.

 

Anuncios

El DPO, la mayúscula y las traducciones

Comentaba acertadamente mi compañero de Blog, Gontzal Gallo, cómo la redacción del nuevo Reglamento Europeo (R(EU)) en materia de protección de datos inducía a pensar que sólo los profesionales del Derecho podrían acceder al nuevo cargo denominado como DPO o DPD en su acrónimo castellano.

El fundamento del debate se centra en el texto del artículo 37.5. de dicho R (EU), en el que manifiesta que “el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”. Es decir que, aunque ya está indicado en el propio texto expuesto,desgajando por requisitos,  el DPD debería cumplir:

1.-Cualidades profesionales

2.- Conocimientos especializados del Derecho

3.-Práctica en materia de protección de datos

4.-Capacidad para desempeñar funciones del artículo 39.

Es evidente cómo el segundo de los requisitos es el referido a los “conocimientos especializados del Derecho“, destacando la redacción en mayúscula del término Derecho, además de requerir que dicho conocimiento sea especializado, no genérico, no superficial. Estos dos aspectos, en mi opinión, son trascendentes dado que Derecho con mayúsculas equivale al conocimiento de nuestra Ciencia Jurídica, escribiéndose, por el contrario, con minúscula (derecho del trabajo, derecho procesal, derecho de protección de datos,…) cuando se menciona uno de los ámbitos concretos del mismo. La conjunción del término Derecho y especializado sólo pudiera llevar a interpretar que las personas con un conocimiento especializado en Derecho, léase, licenciado o grado en Derecho pudiera disponer de las herramientas y del conocimiento jurídico suficiente y reconocido para poder interpretar especializadamente el Derecho, dado que genéricamente el Derecho puede ser conocido e interpretado por muchas profesiones e individuos: todos opinamos sobre la liga de fútbol, pero sólo unos pocos juegan en la liga de fútbol…

Como en ocasiones anteriores, anticipo muy a mi pesar, que los juristas tenemos la batalla perdida, sobre todo desde que el Grupo del Art. 29 ha publicado sus Directrices, realizando una traducción del artículo 37.5 comentado bastante diferente al publicado en BOE, y más cercana a la versión inglesa del R(EU) “expert knowledge of data protection law“. Estas Directrices indican que el DPO requiere “conocimiento experto de la legislación“, complementándose  con el comentario incluido en dicha Directriz en el que manifiesta que”los DPD deben tener conocimiento de las leyes y prácticas de protección de datos tanto nacionales como europeas y una comprensión profunda de la NGPD”. Evidentemente, su especialización se circunscribe únicamente a protección de datos, no al Derecho.

Es un debate abierto, incipiente, con matices, que requiere consenso pero en cualquier caso  y se adopte cualquiera de las interpretaciones sobre el “conocimiento jurídico”, ¿quién se arrogará la posición de acreditar ese conocimiento del Derecho o del derecho en protección de datos? ¿Una entidad de Certificación? ¿Los Órganos de Control?¿Una asociación? ¿No es suficiente el título de licenciado o grado en Derecho? Quien puede lo más debería poder lo menos…

Curiosamente, parece que como siempre el sector jurídico -dígase Colegios y Universidades- más preocupados en otras pendencias de mayor calado, dejará pasar la oportunidad de hacer valer nuestros derechos reconocidos por el Derecho, no sea que hiramos otras sensibilidades al poder pensarse que sabemos interpretar el Derecho.