Hoy quiero plantear un debate que es bastante recurrente, máxime desde la aprobación de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD). Desde hace un tiempo vengo recibiendo diversas consultas sobre la posible obligatoriedad por parte de las asesorías en materia fiscal o laboral de contar con un Delegado de Protección de Datos (DPD/DPO-data protection officer).
Pues bien, las consultas surgen a raíz de la redacción del artículo 34 de la LOPDGDD, sobre la desginación del DPO, en el cual se indica que, además de los supuestos genéricos establecidos en el propio Reglamento Europeo General de Protección de Datos (RGPD UE 2016/679), se debe nombrar a un DPD en una serie de supuestos que declara dicho artículo, presumiendo así, iuris et de iure, que se dan los supuestos del art. 37 del RGPD en dichos supuestos, lo cual no deja de ser bastante discutible.
En todo caso, la intención del artículo de la LOPDGDD es aportar seguridad jurídica, indicando una serie de supuestos en los que el responsable del tratamiento o el encargado, deberá designar un delegado. Uno de esos supuestos es el recogido en el apartado j) que reza: «Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo» .
Nos vamos a fijar pues, en este último inciso, en el que se indica que deben nombrar a un DPO aquellos responsables de tratamiento de datos que lleven o deban llevar ficheros regulados en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
Es obligado en este sentido hacer una remisión a dicha normativa, la cual explicita en su art. 2.1. letra m) que la normativa en materia de blanqueo de capitales se aplica a los auditores de cuentas, contables externos o asesores fiscales. Así, una interpretación simplista, pero muy común, provoca la inmediata relación entre asesor fiscal y obligación de designar DPO, como consecuencia de que el asesor fiscal está sujeto a la Ley 10/2010.
En todo caso, la LOPDGDD habla de aquellos sujetos responsables de llevar ficheros regulados en la Ley de blanqueo, y por tanto no incluye a todos aquellos sujetos a la norma, que pueden estar sometidos a la misma sin necesidad de estar obligados a llevar determinados ficheros en ella regulados. La LPBLAC establece en su art. 61 que se pueden crear Ficheros comunes para el cumplimiento de las obligaciones en materia de prevención en determinados supuestos, como los siguientes:
• cuando concurran riesgos extraordinarios identificados mediante los análisis de riesgos.
• Debe autorizarse por la Comisión, previo dictamen conforme de la Agencia Española de Protección de Datos, el intercambio de información sobre determinadas categorías de operaciones o clientes
• También puede la Comisión autorizar a los sujetos obligados el establecimiento, bien directamente o por medio de las asociaciones a las que pertenecieran, de ficheros comunes para el intercambio de esta información. Esto se realizará previo dictamen conforme de la Agencia Española de Protección de Datos
En este aspecto, parece que solo será razonable exigir a las asesorías la designación de un DPO cuando se den las circunstancias comentadas, que además deberán solicitar informe de la AEPD.
En todo caso, se debe indicar que, al margen de lo comentado, una asesoría podría estar sometida a la designación de un DPO siempre que se den los requisitos del art. 37 del RGPD, que son:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10
Además, indicar que, en nuestra experiencia, siempre será positivo contar con un DPO ya que son personas expertas en la materia y en muchos casos las asesorías manejan importantes volumenes de datos de empleados, por lo que siempre será positivo contar con un experto que asesore y planifique correctamente el cumplimiento o compliance en protección de datos de la asesoría.
Para terminar esta reflexión, adjunto una consulta que realicé a la Agencia Española de Protección de Datos, y que como podréis ver, en mi opinión, es muy concreta y certera.