La figura del Data Protection Officer a les institucions europees Joaquim BAYO DELGADO Magistrat AP (12ª) Barcelona Ex Supervisor europeu de Protecció de Dades

Directiva 95/46/EC Article 18. Obligació de notificació a l’autoritat de control 2. Els Estats membres poden establir la simplificació o l’omissió de la notificació, només en els casos següents i amb les condicions següents: • quan el responsable del tractament designi, d’acord amb el Dret nacional que li sigui d’aplicació, un encarregat de protecció de les dades personals que tingui per funció, en particular: - fer aplicar en l’àmbit intern, de manera independent, les disposicions nacionals adoptades en virtut d’aquesta Directiva, - gestionar un registre dels tractaments efectuats pel responsable del tractament que inclogui la informació enumerada a l’apartat 2 de l’article 21, amb la qual cosa es garanteix que el tractament de les dades no pugui ocasionar una minva dels drets i llibertats dels interessats.

Directiva 95/46/EC (ii) Article 20. Controls previs 1. Els Estats membres han d’especificar els tractaments que puguin suposar riscos específics per als drets i llibertats dels interessats i vetllar perquè siguin examinats abans de l’inici del tractament. 2. Aquestes comprovacions prèvies han d’ésser realitzades per l’autoritat de control un cop hagi rebut la notificació del responsable del tractament o per l’encarregat de la protecció de dades, que, en cas de dubte, ha de consultar l’autoritat de control. 3. Els Estats membres també poden dur a terme aquesta comprovació en el marc de l’elaboració d’una norma aprovada pel Parlament o basada en la mateixa norma, que defineixi el caràcter del tractament i estableixi les garanties oportunes.

DECISIÓN MARCO 2008/977/JAI DEL CONSEJO Artículo 23 Consulta previa Los Estados miembros garantizarán que se consulte a las autoridades nacionales de control competentes antes del tratamiento de datos personales que vayan a formar parte de un nuevo sistema que vaya a crearse, en cualquiera de los siguientes casos: a) que vayan a tratarse las categorías especiales de datos contempladas en el artículo 6, o b) que el tipo de tratamiento, en particular mediante tecnologías, mecanismos o procedimientos nuevos, entrañe otro tipo de riesgos específicos para los derechos y libertades fundamentales y, en particular, para la intimidad del interesado.

Reglamento 45/2001 Artículo 24 Nombramiento y funciones del responsable de la protección de datos 1. Cada institución y cada organismo comunitario nombrará al menos a una persona para que actúe como responsable de la protección de datos encargado de: a) garantizar que los responsables del tratamiento y los interesados sean informados de sus derechos y obligaciones de conformidad con el presente Reglamento; b) responder a las solicitudes del Supervisor Europeo de Protección de Datos y, en el marco de sus competencias, cooperar con el Supervisor Europeo de Protección de Datos a petición de éste o por iniciativa propia; c) garantizar de forma independiente la aplicación interna de las disposiciones del presente Reglamento; d) llevar el registro de aquellas operaciones de tratamiento realizadas por el responsable del tratamiento, el cual contendrá la información a que se refiere el apartado 2 del artículo 25; e) notificar al Supervisor Europeo de Protección de Datos (EDPS) las operaciones de tratamiento que pudieran presentar riesgos específicos con arreglo al artículo 27. Dicha persona deberá velar por que el tratamiento no tenga efectos adversos sobre los derechos y las libertades de los interesados.

Reglamento 45/2001 (ii) Artículo 25 Notificación al responsable de la protección de datos 1. El responsable del tratamiento notificará previamente al responsable de la protección de datos toda operación de tratamiento o serie de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sí. Artículo 26 Registro Cada responsable de la protección de datos llevará un registro de las operaciones de tratamiento a que se refiere el artículo 25. Los registros contendrán como mínimo la información mencionada en las letras a) a g) del apartado 2 del artículo 25. Los registros podrán ser consultados por cualquier persona directamente o indirectamente por mediación del Supervisor Europeo de Protección de Datos. Artículo 27 Controles previos 1. Los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control previo por parte del Supervisor Europeo de Protección de Datos.

Experiència des de l’EDPS Col·laborador indispensable a cap institució o òrgan Xarxa d’experts Descentralització del registre Èmfasi en els controls previs Cultura de la protecció de dades a les institucions

Marc jurídic espanyol La LOPD no fa ús de l’article 18.2 de la Directiva 95/46/EC No hi hauria problema amb la creació de l’encarregat de protecció de dades en dret català No comportaria excempció de notificació a l’autoritat de portecció de dades Però la resta d’avantatges hi serien.