Por María Luisa González Tapia
La Agencia Española de Protección de Dato (“AEPD”) ha publicado recientemente un informe jurídico (Informe 0038/2023 [1]), en el que se analizan distintos aspectos relacionados con el ejercicio de las funciones de delegado de protección de datos (“DPD”).
La publicación de este exhaustivo documento, que recapitula lo señalado por nuestra autoridad de control en otros informes previos, coincide prácticamente en el tiempo con el cumplimiento de los cinco años de aplicación efectiva del Reglamento UE 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (“RGPD” o “Reglamento General de Protección de Datos”).
En este periodo de rodaje inicial de la norma comunitaria, se ha puesto de manifiesto que el cumplimiento del principio de responsabilidad proactiva y de las obligaciones que derivan del mismo requiere la existencia de una posición dentro de las empresas que asuma la carga del mantenimiento de políticas, registros y evidencias que acreditan cumplimiento. El informe jurídico ahora publicado confirma la importante del DPD en este sentido, cuando indica que quien ocupa tal cargo “está llamado a desempeñar un papel fundamental dentro del nuevo modelo de responsabilidad proactiva”.
Conviene aclarar que la figura del DPD se introduce con el RGPD en la mayor parte de Estados miembros, y, por tanto, muchas empresas han tenido que adaptarse internamente para incardinar dicha función dentro de su estructura organizativa[1]. En muchos casos, la inserción de la nueva posición se ha realizado de forma poco meditada o con la intención de cumplir formalmente con un mero trámite. Por ejemplo, se ha pretendido compatibilizar el cargo de DPD con otras funciones, dando lugar a distintos problemas como falta de recursos o tiempo, o incompatibilidades.
Por otro lado, aunque a veces nos olvidamos de ello, el delegado de protección de datos es una posición legal, y, por tanto, regulada. Por tanto, para que un empleado o colaborador externo sea considerado DPD de una entidad no basta con un nombramiento amplio y sin asignación clara de funciones internas o de recursos suficientes. Cuando esto ocurre se imposibilita en la práctica el correcto ejercicio del cargo.
Teniendo en cuenta la importancia del DPD y los problemas que se están viendo en su designación en la práctico, no resulta extraño que se haya querido lanzar una acción coordinada a nivel europeo para conocer la situación de los DPD formalmente designados en cuanto a formación, independencia, recursos asignados y otras circunstancias [2], acción en la que participa nuestra AEPD.
En este contexto, se sitúa la publicación del Informe 0038/2023 [1]. El informe aclara diferentes aspectos del ejercicio del cargo de DPD que sin duda resultarán de utilidad para configurar y definir esta posición dentro de las organizaciones.
Resumimos a continuación los puntos más relevantes:
1º. La AEPD explica que la posición del DPD es de asesoramiento y supervisión. El DPD no toma decisiones (ésta es una característica intrínseca del responsable del tratamiento). Se cita en este sentido lo ya indicado en un informe de 2018, el Informe 170/2018, en el que se señalaba:
“Con respecto al asesoramiento del DPD al responsable en las evaluaciones de impacto, dicho asesoramiento, no puede interpretarse como una manera en la que el DPD reciba instrucciones del responsable o que participe en la toma de decisiones sobre los tratamientos. El asesoramiento del DPD con relación al responsable del tratamiento debe de entenderse de la siguiente forma:
- El DPD asesora al responsable, tanto en las evaluaciones de impacto como en cualquier aspecto de las actividades de tratamiento que lleve a cabo.
- El responsable toma decisiones atendiendo, o no, al asesoramiento del DPD, pues es el responsable finalmente quien determina los fines y medios y quien asumirá las posibles consecuencias que para, los derechos y libertades de las personas, pudieran tener los tratamientos que lleva a cabo.
Por lo tanto, corresponde únicamente y en última instancia, al responsable decidir el modo en que van a ser tratados los datos. El DPD asesora pero no decide sobre dicho modo en el que los datos van a ser tratados […]”.
Si el DPD aprecia la existencia de una vulneración, deberá documentarlo y reportarlo. Por supuesto, puede proponer un plan de actuación, pero corresponde al responsable o encargado determinar qué se hace finalmente. Cuando un responsable o encargado del tratamiento se aparte del criterio marcado por el DPD, resulta recomendable que, a su vez, deje constancia por escrito del motivo de esta decisión.
2º. Para desarrollar adecuadamente las funciones de supervisión, el DPD podrá tener acceso a cualquier tipo de procedimientos o documentos necesarios para el ejercicio de sus funciones (siempre que lo justifique debidamente), sin que el responsable o el encargado puedan negarse alegando la existencia de cualquier deber de confidencialidad o secreto.
3º. Las funciones señaladas en el artículo 39.1 del RGPD son un listado de mínimos. El DPD puede asumir otras tareas adiciones (a modo de ejemplo, la AEPD señala en su informe el mantenimiento de los registros de actividades del tratamiento). No obstante, “la asignación de otras tareas deberá respectar, en todo caso, el carácter asesor y supervisor del DPD, sin que puedan implicar la intervención directa en la toma de decisiones referidas a los fines y medios del tratamiento, que afectaría a su independencia e implicarían la existencia de un conflicto de intereses”.
Sobre el conflicto de intereses, se resalta que el DPD no debería tener funciones adicionales en ámbitos que están sujetos a su supervisión. Por pura lógica, esto parece incompatible. La existencia de una incompatibilidad, de todas formas, ha de analizarse caso por caso. Según indica la AEPD:
“La determinación de la existencia de un conflicto de intereses, en el sentido del artículo 38, apartado 6, del RGPD (LCEur 2016, 605) , debe efectuarse caso por caso, sobre la base de una apreciación del conjunto de las circunstancias pertinentes, en particular, de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.
Por consiguiente, en relación con el encuadramiento del DPD dentro de la estructura del responsable, se trata, de nuevo, de una cuestión organizativa que puede adoptarse libremente por el responsable o encargado del tratamiento, con el único límite de respetar la independencia funcional del DPD, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento. Asimismo, como recuerdan las Directrices sobre los delegados de protección de datos al analizar los recursos necesarios que deben facilitarse al DPD para el desempeño de sus funciones, se debe tener en cuenta un “apoyo activo a la labor del DPD por parte de la alta dirección (al nivel del consejo de administración)”. No obstante, la necesidad de rendir cuentas directamente al más alto nivel jerárquico, así como ese apoyo que debe prestar la alta dirección, no implica necesariamente que el DPD deba depender directamente del máximo órgano de dirección o administración, sino que podrá depender de otros órganos siempre que tenga el nivel adecuado dentro de la estructura del responsable o encargado para permitirle el adecuado ejercicio de sus funciones y se garantice su independencia funcional y la ausencia de conflictos de interés”.
4º. El DPD desempeña una importante labor sirviendo de enlace entre el responsable y encargado del tratamiento y la autoridad de control, con la que debe colaborar en virtud del artículo 39.1.d) del RGPD. Se recuerda que nuestra normativa nacional prevé un mecanismo de traslado al DPD de las reclamaciones presentadas y que cualquier consulta efectuada a la Agencia debe acompañarse de un informe emitido por el DPD.
Sin duda, tras los cinco primeros años de aplicación efectiva del RGPD nos encontramos en un buen momento para reflexionar sobre una figura clave y corregir vicios y deficiencias en el desempeño práctico del cargo de DPD.
[1] El artículo 18.2 de la derogada Directiva 95/46/CE contemplaba la posibilidad de que los Estados miembros regularan la figura del DPD, asociada a la exención de determinadas obligaciones para los responsables del tratamiento (básicamente, la notificación de ficheros). Nuestro país, como otros muchos, optaron por no hacerlo. La anterior ley de protección de datos, Ley Orgánica 15/1999, conocida como “LOPD”, no incluía ninguna mención a esta posición supervisora y de enlace con las autoridades de control. En este sentido, el DPD no es un cargo equivalente al antiguo Responsable de Seguridad que las organizaciones que trataran datos de niveles medio y alto debían nombrar, de acuerdo con lo establecido en el Real Decreto 1720/2008. El DPD realiza tareas más amplias y tiene un importante papel de comunicación con la autoridad de control y de atención/resolución de reclamaciones de afectados que resulta totalmente extraño para el responsable de seguridad.
Links
[1] https://www.aepd.es/es/documento/2023-0038.pdf
[2] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-participa-accion-europea-coordinada-para-analizar-designacion-y-situacion-de-dpds
[3] https://www.ramonycajalabogados.com/es/noticias/la-aepd-analiza-las-funciones-del-delegado-de-proteccion-de-datos