¿Es necesario un DPD en un despacho de abogados o procuradores?

La figura del DPO o DPD

Data Protection Officer es el nombre común por el que se conoce el delegado de protección de datos, y, en el sistema español la AEPD, se define como uno de los elementos claves del RGPD, que opera como garante en el cumplimiento de la normativa de protección de datos, con sus funciones propias y sin sustituir las de las autoridades de control. 

El artículo 37 del RGPD vino a regular la figura del DPD y de este precepto debemos destacar lo siguiente:

• Su designación será obligatoria en determinados casos (art. 37 del RGPD y art. 34 de la LOPDGDD). Fuera de esos casos su designación queda al arbitrio, bien del responsable, bien del encargado del tratamiento, como una medida más de responsabilidad activa.
• Debe tratarse de un profesional con conocimientos en derecho y con práctica en materia de protección de datos. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.

Cabe citar el artículo 35 de la LOPDGDD: «El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos».

• Es necesario también, ante la naturaleza de los servicios que puede prestar el DPD, que tenga ciertos conocimientos sobre otras materias fuera de las estrictamente de carácter jurídico, como pueden ser en materia de tecnología, u otra a la que se dedique la organización donde va a desempeñar sus tareas.
• No tienen por qué formar parte de la estructura interna de la empresa encargada del tratamiento: puede formar parte de la plantilla del responsable o encargado o puede desempeñar sus funciones como DPD en el marco de un contrato de servicio. 
• Debe ser una figura independiente y autónoma: actuará como interlocutor entre la entidad responsable y el resto de los elementos que existan en su órbita operativa (encargados, interesados o la propia AEPD).
• Debe tener a su disposición, por parte del responsable o encargado, todos los recursos suficientes y necesarios para desarrollar su actividad.
• Un grupo empresarial puede nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento, esto es, que las tareas del DPD sean punto de contacto con respecto a los interesados y la autoridad de control, así como desde el interior de la organización (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—). 
• Si el responsable o el encargado del tratamiento es una autoridad u organismo público, se puede designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
• Se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento (Grupo de Trabajo sobre la protección de datos del artículo 29 —Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016—). 

Designación del DPD 

En ese mismo artículo 37 del RGPD se indica que:

«1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10».

A TENER EN CUENTA. Las categorías especiales de datos del artículo 9 del RGPD se refieren a los reveladores del origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física y respecto a los datos relativos a condenas e infracciones penales del artículo 10 del RGPD, el mismo número pero de la LOPDGDD indica que este tratamiento está reservado a responsables de los órganos competentes para la instrucción de procedimientos sancionadores o a supuestos autorizados por ley o contando con el consentimiento de los interesados, el propio artículo incluye que será posible su tratamiento por abogados cuando tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Por su parte, el capítulo III, dentro del título V, de la LOPDGDD se encarga de desarrollar su intervención en materia de protección de datos en el sistema español. Así, el artículo 34 de la LOPDGDD indica, en su apartado 1, que:

«1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

(...)

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo».

Por tanto, tras la lectura de ambas normas, es necesario acudir a la Ley 2/1974 de 13 de febrero, sobre Colegios Profesionales, y, en concreto, a su artículo 1 que indica que:

«1. Los Colegios Profesionales son Corporaciones de derecho público, amparadas por la Ley y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines.

(...)

3. Son fines esenciales de estas Corporaciones la ordenación del ejercicio de las profesiones, la representación institucional exclusiva de las mismas cuando estén sujetas a colegiación obligatoria, la defensa de los intereses profesionales de los colegiados y la protección de los intereses de los consumidores y usuarios de los servicios de sus colegiados, todo ello sin perjuicio de la competencia de la Administración Pública por razón de la relación funcionarial».

Lo que se completa con el artículo 66, apartado 1, del Estatuto General de la Abogacía Española, que concreta lo siguiente:

«Los Colegios de la Abogacía son Corporaciones de Derecho Público que se rigen por la Ley 2/1974, de 13 de febrero, sobre Colegios profesionales, por las Leyes autonómicas de Colegios Profesionales, por lo dispuesto en el presente Estatuto General y en sus Estatutos particulares, así como en las normas internas que aprueben y por los acuerdos adoptados por los diferentes órganos corporativos en el ámbito de sus competencias».

Se concluye de todo lo expuesto que los colegios de abogados o de procuradores sí deben contar con un DPD.

DPD en un despacho de abogados o procuradores

Resulta interesante suscribir lo recogido por el CGAE en su artículo «Abogacía y protección de datos: elementos clave para su cumplimiento», por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos, que respecto a la figura del delegado de protección de datos concluye:

«El DPD es una figura a la que el RGPD atribuye un papel fundamental dentro del modelo de responsabilidad activa que establece, por lo que resulta fundamental que su designación descanse en una persona que reúna los requisitos de cualificación y de capacidad que exige el RGPD».

En definitiva, debe atenderse, primeramente, al tipo de ejercicio que se esté dando, tanto por el abogado como por el procurador.

De esta forma, acudiendo a los artículos 37 del RGPD y 34 de la LOPDGDD, y atendiendo al caso especial del ejercicio del profesional, podríamos concluir:

• Los que ejerzan a título individual no están obligados a designar un DPD, aunque su nombramiento siempre es recomendable.
• Como se recoge en el artículo de la CGAE arriba mencionado, resultaría recomendable que las corporaciones profesionales, que como tales están obligadas a contar con un DPD [como dice el artículo 34, apartado 1, letra a) de la LOPDGDD], pudieran ofrecer estos servicios de forma voluntaria a quienes no estén obligados a disponer de esta figura, de manera que les sirviera de ayuda para el cumplimiento de la normativa aplicable.
• Para el caso de que el despacho desarrolle actividades que consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Deberá definirse a qué se refieren con «gran escala»:
• El Grupo de Trabajo sobre la protección de datos del artículo 29, en sus Directrices sobre los delegados de protección de datos (DPD) adoptadas el 13 de diciembre de 2016, esclareció sobre esta cláusula que:

«La observación habitual y sistemática será algo continuado, recurrente, constante o periódico, y que se produce de acuerdo con un sistema, que está preestablecido u organizado. Así mismo, para considerar un tratamiento a gran escala debe tenerse en cuenta: 

- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.

- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.

- La duración, o permanencia, de la actividad de tratamiento de datos.

- El alcance geográfico de la actividad de tratamiento».

• Pero el Grupo de Trabajo es muy claro al determinar que no constituye un tratamiento a gran escala el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado. 
• Si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 del RGPD o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

El considerando (97) del RGPD indica que, en el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares y añade el mencionado Grupo de Trabajo que se consideran como actividades principales las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento. 

CUESTIÓN

Un despacho de abogados, ¿está obligado a nombrar un DPD?

Para responder a esta cuestión hay que tener en cuenta más de un elemento. En efecto, pudiera enmarcarse este tipo de entidades en el tercer condicionante indicado en el RGPD, por el tratamiento de categorías especiales de datos y datos relativos a condenas e infracciones penales. Sin embargo, se requiere que dicho tratamiento se realice a gran escala. Por esta razón, lo que se debe valorar es el tamaño de la entidad, el alcance territorial de sus tratamientos y el volumen de interesados de los que manejan datos.

De esta forma, atendiendo a la estructura de la empresa, podemos afirmar que, si se trata de un despacho común, unipersonal o con pocos socios y de pequeño volumen, no necesitará nombrar DPD.

Resulta interesante consultar las Directrices sobre los delegados de protección de datos del Grupo de Trabajo sobre protección de datos del artículo 29. 

A TENER EN CUENTA. Para un estudio profundo de la figura del DPD en lo que atañe también a las funciones, su posición, etc., es importante acudir a los arts. 38 y 39 del RGPD y arts. 35 a 37 de la LOPDGDD.

Designación de un DPD en un despacho de abogados o procuradores

Una vez se concluya si debe designarse el DPD, ya sea por mandato legal o por voluntad propia del despacho, debe comunicarse por el responsable o encargado del tratamiento a la AEPD o autoridades autonómicas competentes (APDCAT en Cataluña, AVPD en el País Vasco o CTPD en Andalucía) la designación en un plazo de diez días.

Así mismo, el plazo de 10 días será el aplicable para las comunicaciones de cese del DPD, como recoge el artículo 34, apartado 3, de la LOPDGDD.

Debemos recordar que la designación voluntaria de un DPD viene a ser una muestra de proactividad por parte del responsable del tratamiento, hecho que se valorará a la hora de graduar la sanción ante una posible infracción, como recoge el artículo 76, apartado 2, g) de la LOPDGDD.

En ese sentido, se debe mencionar respecto al posible régimen sancionador en la designación del DPD que:

• Se considera infracción grave, con prescripción a los dos años, el incumplimiento de la obligación de designar un DPD [art. 73 v) de la LOPDGDD].
• Se considera infracción grave, con prescripción a los dos años, no posibilitar la efectiva participación del DPD en las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones [art. 73 w) de la LOPDGDD].
• Se considera infracción leve, con prescripción de un año, no publicar los datos de contacto del DPD o no comunicarlos a la AEPD o autoridad competente cuando fuera un nombramiento fuera obligatorio [art. 74 p) de la LOPDGDD].

CUESTIONES

1. ¿A qué sanciones puede enfrentarse el responsable del tratamiento ante el incumplimiento de sus obligaciones en materia de designación de DPD?

El artículo 83, apartado 4, a) del RGPD considera que las infracciones de las disposiciones relativas a las obligaciones del responsable y del encargado que le sean atribuibles conforme a los artículos, entre otros, 37 a 39 del RGPD que regulan las normas relativas al DPD, se sancionan —teniendo en cuenta determinados factores para graduar la cuantía (art. 83, apartado 2, del RGPD) y como puede ser también la designación voluntaria como conducta proactiva— con multas administrativas de 10.000.000 euros, como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 

2. ¿Qué plazos de prescripción se aplican en estas sanciones?

El artículo 78 de la LOPDGDD indica que el plazo de prescripción computará desde el día siguiente a aquel en que sea ejecutable la resolución que impone la sanción o transcurriera el plazo para recurrirla y que la regla será: 

• Las sanciones por importe igual o inferior a 40.000 euros prescriben en el plazo de un año.
• Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
• Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.

3. ¿Puede interrumpirse el plazo de prescripción de las sanciones?

Sí, y eso ocurrirá cuando, con conocimiento del interesado, se inicie el procedimiento de ejecución, volviendo a transcurrir el plazo si tal proceso se paraliza durante más de 6 meses por causa no imputable al infractor (art. 78.3 de la LOPDGDD).