¿Qué perfil debe ocupar el delegado de protección de datos dentro de nuestra organización?
El marco jurídico actual en materia de protección de datos, integrado por el Reglamento 2016/679, de 27 de abril, General de Protección de Datos [RGPD], y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales [LOPDGDD], ha puesto de relieve la institución del Delegado de Protección de Datos [DPD] o, en inglés, Data Protect Officer [DPO]. En este sentido, el Grupo de Trabajo sobre Protección de Datos del Artículo 29 ha expresado que el DPD desempeña un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales del RGPD, como los principios relativos al tratamiento de datos, los derechos de los interesados, la protección de los datos desde el diseño y por defecto, el registro de las actividades de tratamiento, la seguridad del tratamiento y la notificación y comunicación de las violaciones de seguridad de los datos.
Una de las expresiones de dicha relevancia la encontramos en el artículo 37.1 del RGPD, el cual prevé la designación obligatoria de un DPD en todas aquellas organizaciones que, siendo autoridades y organismos públicos [a excepción de los juzgados y tribunales cuando actúen en ejercicio de su función judicial], efectuando una observación habitual y sistemática de personas a gran escala, o efectuando un tratamiento a gran escala de categorías especiales de datos, actúen como responsables o encargadas del tratamiento de datos personales. Asimismo, todas aquellas organizaciones no previstas por el artículo 37.1 del RGPD que lo deseen pueden optar por designar voluntariamente un DPD, pues el mimo puede suponer una ventaja competitiva para su empresa.
Con independencia del carácter obligatorio o voluntario de su designación, el DPD actúa en relación con todas las operaciones de tratamiento de datos personales llevadas a cabo por la organización para la cual ejerce sus funciones, teniendo como objetivo velar porque dichas operaciones de tratamiento de datos se adecuen a la normativa vigente en materia de protección de datos, a través de la implementación de instrumentos de rendición de cuentas tales como las evaluaciones de impacto. A su vez, el DPD actúa como intermediario entre la organización y las autoridades de control, los titulares de los datos personales tratados, u otros interesados.
La designación de un DPD dentro de una organización carece de todo sentido sino dotamos a dicha institución de un nivel de conocimientos, autonomía, independencia y recursos suficientes para poder desarrollar correctamente sus funciones. Es en este momento en el que debemos plantearnos ¿qué perfil debe de presentar el DPD de nuestra organización?
Según el artículo 37.5 del RGPD, el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, sin llegar a determinar la formación específica que debe ostentar un DPD. En consecuencia, deberemos de determinar el nivel de conocimientos especializados necesario del DPD en función de las operaciones de tratamiento de datos que efectúe la organización para la que actúa, de la sensibilidad, complejidad y cantidad de datos tratados, de la frecuencia en la que la organización efectúa transferencias internacionales de datos personales, así como del nivel de protección que se debe de asignar a los datos personales tratados.
En efecto, es recomendable que el DPD posea unos conocimientos adecuados sobre la normativa y los procedimientos en materia de protección de datos, así como del sector empresarial y de la organización para la cual ejerce sus funciones, con el objetivo de conocer y comprender las operaciones de tratamiento de datos personales que se llevan a cabo en ella. Asimismo, en el caso que el DPD ejerza sus funciones para una autoridad pública, es recomendable que el mismo también posea conocimientos sobre la normativa y los procedimientos administrativos propios de la organización. Es importante, en referencia a este extremo, que dichos conocimientos normativos y procedimentales vayan acompañados de unos conocimientos suficientes de los sistemas y técnicas de la información y comunicación, así como de las actuales medidas de seguridad de la información.
Para poder poner en práctica dichos conocimientos en el seno de la organización, el DPD deberá de estar dotado de un nivel de autonomía tal que le permita ejercer sus funciones con independencia, sin interferencias por parte de otros miembros de la organización. En este sentido, la designación del DPD no queda limitada a los propios miembros internos de la organización, sino que existe la posibilidad de designar como DPD de una organización a una persona física o a una organización ajena al responsable o al encargado del tratamiento de datos, en el marco de un contrato de prestación de servicios.
Con independencia del carácter interno o externo del DPD, el artículo 38.3 del RGPD prevé que el responsable y el encargado del tratamiento garantizarán que el DPD no pueda recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones, de modo que no pueda ser destituido ni sancionado por el responsable o el encargado por el desempeño sus funciones. En este sentido, el considerando 97 del RGPD matiza lo previsto por el citado precepto normativo, expresando que los DPD, sean o no empleados del responsable del tratamiento, deben de estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
En referencia con este extremo, debemos de poner de relieve que el artículo 38.6 del RGPD posibilita que el DPD pueda desempeñar otras funciones y cometidos dentro del ámbito de la organización para la cual actúa, si bien el responsable o encargado de tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses, pues la existencia de un conflicto de intereses comportaría que el DPD no pudiera actuar con total independencia. En consecuencia, el DPD no puede ostentar dentro de la organización para la cual ejerce sus funciones un cargo que le permita determinar las finalidades y los medios del tratamiento de datos personales, ni representar al responsable o al encargado de tratamiento ante los órganos jurisdiccionales en asuntos en materia de protección de datos, con lo que la designación interna del DPD queda limitada a aquellos miembros que, por su posición o sus funciones dentro de la organización, no puedan presentar un conflicto de intereses en el desempeño de sus obligaciones en materia de protección de datos excluyendo, de antemano, a los cargos directivos de la organización y a sus representantes legales por asuntos en materia de protección de datos.
No obstante, si bien es verdad que el DPD ejercerá sus funciones con plena autonomía e independencia, y sin recibir interferencias ni instrucciones por parte de otros miembros de la organización para la cual actúa, debemos tener presente que dicha autonomía e independencia del DPD queda limitada a las funciones previstas por el artículo 39 del RGPD, esto es, el velar por el cumplimiento normativo en las operaciones de tratamiento de datos personales efectuadas, y el poder expresar sus discrepancias a la dirección de la organización en caso que el responsable o el encargado del tratamiento de datos tomen una decisión incompatible con las previsiones normativas, pero sin llegar a tener poder para adoptar una determinada decisión más allá de dichas funciones. Es por ello que el DPD no es personalmente responsable en caso de incumplimiento normativo por parte de la organización; y es que según el RGPD, son el responsable y el encargado del tratamiento de datos personales los responsables finales de garantizar y demostrar dicho cumplimiento normativo.
Por último, en cuanto a la puesta a disposición de recursos suficientes para poder desarrollar sus funciones, el artículo 38.2 del RGPD prevé que el responsable y el encargado del tratamiento facilitarán al DPD los recursos necesarios para el desempeño de sus funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. En consecuencia, dicha puesta a disposición de los recursos necesarios debe traducirse en un apoyo de la alta dirección a la labor del DPD, dotando al mismo de los recursos financieros, la infraestructura y el equipo humano suficiente para el correcto desarrollo de la labor que éste tiene encomendada. En este sentido, la organización debe de comunicar la designación del DPD a todo su personal, haciendo posible que el mismo pueda interactuar con otros departamentos, como pueden ser el departamento jurídico, el departamento de tecnologías de la información y la comunicación, o el departamento de seguridad, así como el poder desarrollar una formación continua en el ámbito de protección de datos.
Asimismo, uno de los factores a tener en cuenta por parte del responsable y del encargado de tratamiento es el de dotar al DPD del tiempo suficiente para el desempeño de sus funciones, extremo que adquiere especial relevancia en el caso de los DPD designados en el ámbito interno de la organización que ejerzan sus funciones como DPD a tiempo parcial, en combinación con otras funciones dentro de la empresa, o en el caso de los DPD designados externamente a los cuales se les encomienda dicha función de manera complementaria a otras de principales, como pueden ser los servicios de consultoría o asesoramiento empresarial. Estos supuestos, en los que las funciones del DPD son ejercidas no con carácter principal, sino como complemento a otras funciones establecidas como prioritarias, pueden dar lugar a un descuido de las obligaciones de la organización en materia de protección de datos.
Esteve Gimeno Gas
AMALTEA CALIDAD