En la recta final del proceso
de adecuación de las empresas al Reglamento General de Protección de Datos
(RGPD), con un deadline fijado el 25 de mayo, uno de los retos que deben
abordarse es la designación de un Data Protection Officer (DPO) o Delegado de
Protección de Datos.
La nueva posición en el
organigrama empresarial, sobre la que tanto hemos leído y hablado, constituye
un pilar básico en el cumplimiento de la nueva normativa europea y juega sin
duda un rol importantísimo en el seguimiento y acreditación de dicho
cumplimiento. Para entender esta nueva figura y poder designar el perfil
concreto que pueda llevar a cabo estas funciones, debemos tener en cuenta lo
establecido en el propio RGPD, el Proyecto de Ley Orgánica de Protección de
Datos, las Directrices sobre los delegados de protección de datos del Grupo de
Trabajo del Artículo 29, las guías del Information Commissioner's Office o el
Informe de la Confederation of European Data Protection Organizations (CEDPO).
Igualmente, deben tenerse en
consideración los Estándares Internacionales sobre Protección de Datos
Personales y Privacidad aprobados en la 31ª Conferencia Internacional de
Autoridades de Protección de Datos y Privacidad, celebrada en noviembre de 2009
en Madrid, en las que se avanzaba sobre la oportunidad y designación de
delegados de protección de datos por parte de la Administración y las empresas.
¿Quién debe designar un
Delegado de Protección de Datos?
Si bien el RGPD (artículos 37
a 39) establece tres casos en los que será obligatorio la designación de un DPO
por el responsable y el encargado del tratamiento: (i) cuando el tratamiento lo
lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial (sobre este aspecto, el Grupo de
Trabajo del Artículo 29, especifica que, aquellos casos en los que hay
funciones públicas llevadas a cabo por terceros que no tienen naturaleza
pública, pese a no ser obligatoria para éstos a priori, podría ser una buena
práctica), (ii) cuando las actividades principales del responsable o del
encargado consistan en operaciones de tratamiento que, en razón de su
naturaleza, alcance y/o fines, requieran una observación habitual y sistemática
de interesados a gran escala (el Grupo de Trabajo del artículo 29 interpreta el
término habitual, entre otros casos, cuando éste es recurrente en el tiempo,
durante determinados períodos o de forma constante), o (iii) cuando las
actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categorías especiales de datos personales y de
datos relativos a condenas e infracciones penales (en este sentido, en relación
con el concepto de gran escala, hay que tener en cuenta determinados
parámetros, tales como la cantidad de interesados afectados por el tratamiento,
el volumen de datos tratados, la duración y extensión geográfica del mismo).
En relación con los grupos
empresariales, el citado artículo 37, posibilita a un grupo empresarial
designar un único DPO, siempre y cuando, éste sea fácilmente accesible desde
cada establecimiento y pueda llevar a cabo las funciones que le reconoce la
normativa en materia de protección de datos.
¿Qué perfil debe tener el
Delegado de Protección de Datos?
En relación con su
designación, el RGPD establece que el DPO será designado atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos especializados
del Derecho y la práctica en materia de protección de datos y a su capacidad
para desempeñar las funciones que le son reconocidas, entre las que cabe
recordar: (i) informar y asesorar al responsable o al encargado del tratamiento
y a los empleados que se ocupen del tratamiento de las obligaciones que les
incumben en virtud del presente Reglamento y de otras disposiciones de
protección de datos de la Unión o de los Estados miembros; (ii) supervisar el
cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las políticas
del responsable o del encargado del tratamiento en materia de protección de
datos personales, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes, (iii) ofrecer el asesoramiento
que se le solicite acerca de la evaluación de impacto relativa a la protección
de datos y supervisar su aplicación, (iv) cooperar con la autoridad de control,
(vi) actuar como punto de contacto de la autoridad de control para cuestiones relativas
al tratamiento, incluida la consulta previa, y realizar consultas, en su caso,
sobre cualquier otro asunto.
Así las cosas, el RGPD
establece que el DPO será designado atendiendo a sus cualidades profesionales
y, en particular, a sus conocimientos especializados del Derecho y la práctica
en materia de protección de datos y a su capacidad para desempeñar sus
funciones. A mayor abundamiento, el considerando 97 establece que el nivel de
conocimientos especializados necesario se debe determinar en función de las
operaciones de tratamiento de datos que se realicen y de la protección exigida
para los datos personales tratados, debiendo ser conforme con la sensibilidad,
complejidad y cantidad de los datos que una empresa trata.
Entre los aspectos que deberán
o podrán ser valorados de cara a a acreditar su conocimiento por parte de las
empresas, se encuentran las certificaciones oficiales. En este sentido la
propia Agencia Española de Protección de Datos, presentaba junto a ENAC su
esquema de certificación. Certificación que, sin ser obligatoria, aporta una
mayor seguridad jurídica a DPOs y empresas dentro del proceso de designación.
Otros conocimientos
necesarios para el desempeño de sus funciones por el DPO, atenderán al
conocimiento del sector empresarial y de la organización empresarial, el tipo
de operaciones de tratamiento que se llevan a cabo, así como de los sistemas de
información y necesidades de seguridad y protección de datos del responsable o
el encargado del tratamiento, así como, capacidad para fomentar una cultura de
protección de datos dentro de la organización.
Así, el propio Grupo de
Trabajo del Artículo 29, reconoce, entre las cualidades que le son exigibles al
DPO, cualidades personales deben incluir por ejemplo integridad y alta ética profesional,
capacidades de comunicación, así como, habilidades personales y empatía a la
hora de lidiar con situaciones relativas a la gestión de reclamaciones o
posibles discrepancias que se puedan producir entre los criterios empresariales
y la interpretación normativa.
No debe olvidarse que, dentro
del deber de acreditar el cumplimiento normativo por parte de responsables y
encargados de tratamiento, será fundamental poder defender la elección de un
determinado perfil o proveedor para la prestación de este servicio y las
funciones que conlleva, aportando la seguridad jurídica necesaria en el marco
del cumplimiento normativo.
Dentro del proceso de
designación y elección del perfil y profesional, interno o externo, que
desarrolle estas funciones en el seno de las empresas, quizás sea recomendable
que el mismo se participe del proceso de adecuación a la nueva normativa, un
aspecto que facilita su conocimiento del funcionamiento de la empresa y medidas
implantadas.
Responsabilidades del DPO en
el ejercicio de sus funciones
Si bien el RGPD establece en
su artículo 38 que el DPO no será destituido ni sancionado por el responsable o
el encargado por desempeñar sus funciones, salvo en los supuestos de dolo o
negligencia grave, y que, a priori, no es responsable personalmente del
incumplimiento de la normativa de protección de datos, siendo el responsable o
el encargado del tratamiento quienes está obligado a garantizar y ser capaz de
demostrar que los tratamientos se realizan de conformidad con el RGPD, puede darse
el caso que, la dejación de sus funciones, un mal asesoramiento o la mala
praxis profesional puedan conllevar determinadas responsabilidades, incluso en
el orden penal, a modo de ejemplo, debe recordarse el deber secreto y
confidencialidad (artículo 38 del RGPD), o la no adopción de sus funciones
establecidas legalmente. Estas responsabilidades, en el orden penal, pueden
derivar de acciones de comisión pura o, incluso, de la comisión de tipos
delictivos por comisión por omisión, en relación con sus funciones o posición
de garante en el tratamiento de datos personales.
Conflictos de intereses y
régimen de incompatibilidades
No obstante, uno de los
mayores inconvenientes que podemos encontrarnos en el proceso de designación de
un DPO en el seno de la entidad, es el perfil elegido y la posible
incompatibilidad de funciones que pudiera existir. Este aspecto se encuentra en
el debate constante dentro de las entidades, no sólo en cuanto a personas, sino
a nivel de departamentos.
Así, el Grupo de Trabajo del
Artículo 29, en relación con las incompatibilidades y posibles conflictos de
intereses, establece que, si bien el artículo 38 del RGPD posibilita que el DPO
desempeñe otras funciones y cometidos, éstas no podrán implicar un conflicto de
intereses, debiendo el DPO actuar, en todo momento, con un criterio de
independencia. Así, establece el Grupo de Trabajo que, el DPO, no podrá ocupar
un cargo en la organización que le lleve a determinar los fines y medios del
tratamiento de datos personales, debiendo considerarse caso por caso. Así las
cosas, y como norma general, parece que podrían entrar en ese conflicto de
intereses, puestos de alta dirección y otros cargos inferiores en la estructura
organizativa si tales cargos o puestos llevan a la determinación de los fines y
medios del tratamiento.
Sobre este aspecto, ya en
2016, la Autoridad de Protección de Datos de Baviera sancionaba a una empresa
por ignorar la petición de designar a otro DPO diferente del propio Director de
Sistemas, atendiendo al conflicto de intereses que el nombramiento conllevaba.
En este sentido, se entiende la incompatibilidad de funciones, en tanto el DPO
actuaba también de administrador de los sistemas, supervisándose a sí mismo y,
anulando, por tanto, la independencia necesaria.
Esta situación, puede
repetirse con otras figuras en el seno de las empresas, por lo que el proceso
de identificación del perfil, la dotación de recursos uy funciones o su
posicionamiento en el organigrama, adquieren una mayor relevancia, de cara, no
sólo a cumplir con la nueva normativa, sino a no incurrir en un incumplimiento
derivado de un nombramiento meramente formal, al que no puedan garantizarse los
aspectos establecidos en el RGPD y Proyecto de Ley Orgánica española, a modo de
ejemplo: (i) garantizar que el DPO participe de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos personales,
(ii) el respaldo necesario al DPO en el desempeño de sus funciones, facilitando
los recursos necesarios para el desempeño de las mismas, el acceso a los datos
personales y a las operaciones de tratamiento, y para el mantenimiento de sus
conocimientos especializados y garantizar que el DPO no reciba ninguna
instrucción en lo que respecta al desempeño de dichas funciones.
Aspectos que adquieren gran
importancia, tanto en la designación interna o la externalización del servicio,
en tanto, será el interlocutor, dentro de la empresa, con la autoridad de
control y los propios ciudadanos, en un nuevo marco normativo donde la cuantía
de las sanciones alcanza los 20 millones de euros y el daño reputacional para
las empresas en estos aspectos, es difícilmente cuantificable.
¿Cómo integrar el DPO en la
estructura de la empresa?
Conforme a la normativa
europea, el DPO debe formar parte de todos los debates, análisis o discusiones
que tengan como materia, directa o indirectamente, el tratamiento de datos
personales en el seno de la organización. En el desarrollo de sus funciones
deberá reportar a la más alta dirección, cuestión que puede generar dudas, en
relación con la definición de este órgano, desde una figura societaria o desde
un punto de vista organizativo y funcional
Así las cosas, debe ser una
figura independiente y autónoma dentro de la organización, con el apoyo de la
alta dirección, debiendo tener recursos y tiempo para afrontar sus funciones,
facilitándosele la formación necesaria y definiéndose las políticas de
comunicación necesarias para que el personal conozca al DPO, sus funciones y
los medios de contacto. En este aspecto, hay aspecto que aún deben definirse,
por ejemplo, en relación con la identificación e información a facilitar, en
caso de que el tratamiento se realice de manera exclusiva por el encargado del
tratamiento, sírvase como ejemplo el establecimiento de sistemas de
videovigilancia y las implicaciones que en este sentido tiene la Ley 5/2014, de
4 de abril, de Seguridad Privada.
Deberá tener acceso y
relación con otras áreas para poder desarrollar sus funciones, no pudiendo ser
penalizado por la entidad en el desarrollo de sus funciones, debiendo
garantizarse que no reciba ninguna instrucción en relación con las mismas.
En este sentido, tal y como
recoge el Preámbulo del Proyecto de Ley Orgánica española, la figura del DPO
adquiere una destacada importancia en el RGPD, que parte del principio de que
puede tener un carácter obligatorio o voluntario, estar o no integrado en la
organización del responsable o encargado y ser tanto una persona física como
una persona jurídica.
Como recuerda el Preámbulo,
la designación del DPO ha de comunicarse a la autoridad de protección de datos
competente, que mantendrá una relación pública y actualizada de los DPOs,
accesible por cualquiera, no debe olvidarse que, tal y como establece el propio
RGPD, en las clausulas relativas al derecho de información, deberá informarse
de esta figura, como canal e interlocutor, tanto con los ciudadanos como con
las autoridades de control.
Para la ejecución de sus
funciones y aportar las garantías suficientes, deberá establecerse un Estatuto
del DPO, mediante el que se garantice la participación en tiempo y forma en
todas las cuestiones relacionadas con datos personales, se faciliten los
recursos necesarios para el desempeño de sus funciones, se garantice y proteja
la independencia del DPO, se establezca el sistema de rendición de cuentas
directamente al más alto nivel jerárquico y evitar posibles incompatibilidades
con otras funciones y cometidos del profesional designado.
Criterios a tener en cuenta
para la externalización del DPO.
Debe recordarse que el RGPD,
en su artículo 37, posibilita la externalización de esta figura, es decir,
ejecutándose en base a un contrato de prestación de servicios. En este sentido,
deberán adoptarse las mismas garantías analizadas en el presente artículo,
debiendo, adicionalmente, mediar la responsabilidad de la empresa en relación
con la elección del proveedor, su experiencia y cualificaciones para las
funciones a desarrollar, aspectos íntimamente ligados al concepto de
acountability desarrollado por el RGPD, entendido como el establecimiento de
una serie de medidas para aumentar la responsabilidad y la rendición de cuentas
de los responsables del y encargados del tratamiento para garantizar el pleno
cumplimiento de la nueva normativa.
Contenido curado por Isabel Asolo (Community Manager) HERAS ABOGADOS
BILBAO S.L.P.
No hay comentarios:
Publicar un comentario