Recientemente se han publicado los resultados de las discusiones mantenidas en el taller de expertos (Fablab) organizado por el Grupo de Trabajo del Artículo 29 el 26 de julio en Bruselas. El objetivo de este taller era discutir cuestiones de cara a preparar la implementación del Reglamento General de Protección de Datos (“RGPD”).

Entre otros aspectos, la publicación trata los siguientes:

  • Respecto al delegado de protección de datos (“DPD”), se analizaron los conceptos “actividades principales” y “a gran escala” del artículo 37.1 (b) y (c).

Por “actividades principales” deben entenderse las operaciones claves llevadas a cabo para alcanzar los objetivos del responsable o del encargado. Por ejemplo, el tratamiento de datos de recursos humanos no requeriría un DPD, pero sí un sistema de localización de conductores de una empresa de transporte.

El concepto “a gran escala” no debe basarse en criterios cuantitativos, sino que el análisis debe hacerse caso a caso.

También se analizaron los requisitos e incompatibilidades de DPD, haciendo hincapié en los conflictos de interés, y la necesidad de que tenga “conocimientos especializados” sobre protección de datos.

Tanto los responsables como los encargados deberán garantizar la independencia del DPD, para lo que se le deberá dotar de relación directa con la alta dirección de la empresa, su formación constante y su involucración real en todas las actividades que impliquen tratamiento de datos personales.

  • Los representantes de los responsables del tratamiento pusieron de manifiesto sus preocupaciones en relación con el derecho a la portabilidad de los datos, entre las que destacaban los costes que implicará y la inversión que exigirá, así como los formatos que deberán usarse.
  • En cuanto a la evaluación de impacto relativa (“PIA”), se indicó la necesidad de que las autoridades de protección de datos especifiquen los criterios que se listan en el artículo 35.3, así como la lista de los tipos de operaciones de tratamiento que requieran la realización de la PIA y clarificar cómo deberán gestionarse en supuestos de tratamiento paneuropeo.
  • Se discutió si las certificaciones requerían el mero cumplimiento de la ley o deberían ir más allá. Los sistemas de certificación usados podrían variar según el sector, pero una certificación general (a modo de “paraguas”) podría beneficiar un esquema de certificación europeo uniforme y reconocido que garantizaría un nivel apropiado de estándares uniformes y elevados que generaría confianza.