El DPO: figura estratégica para el negocio y para las autoridades competentes

¿Se ajusta la situación del DPO a lo requerido en el RGPD?

Por ello, hace tan solo unos días, la Agencia Española de Protección de Datos (AEPD) anunció que se ha incorporado al desarrollo de una acción preventiva a escala europea ‒destinada a las 27 Autoridades de Protección de Datos de la Unión Europea, además de las de Islandia, Liechtenstein y Noruega‒ con el objetivo de evaluar si la situación de los DPD en las organizaciones se ajusta a lo requerido en el Reglamento General de Protección de Datos.

Así, la AEPD analizará las prácticas de más de 30.000 entidades del sector público y privado a través de un cuestionario en el que se preguntará, entre otras cuestiones, sobre la designación, conocimiento y experiencia de los DPD, sus tareas y recursos o su papel y posición en sus respectivas organizaciones. Por lo que respecta a las entidades del sector privado, el cuestionario tendrá en cuenta distintos sectores de actividad: educación, entidades bancarias y financieras, sanidad, sector energético, seguridad, servicios de telecomunicaciones, solvencia patrimonial y crédito, y actividades relacionadas con los juegos de azar y apuestas.

Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión más amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité Europeo de Protección de Datos publicará un informe sobre el resultado de este análisis una vez concluidas las acciones.

Por ello, resulta importante repasar ciertos puntos clave que se abordarán en esta nueva iniciativa de control por parte de la AEPD respecto a la figura y funciones del DPD a efectos de cumplimiento del RGPD:

1. ¿Qué funciones desarrollan los DPD?

Según la normativa aplicable, el DPD es quien debe velar por el control y la supervisión del cumplimiento de la normativa protectora de datos personales, actuando de punto de contacto con los usuarios, las unidades de negocio corporativas y las autoridades de protección de datos. De hecho, estas últimas han habilitado canales de comunicación específicos para facilitar el correcto desarrollo de sus funciones.

Como parte de esas obligaciones de supervisión de la observancia, los DPD pueden, en particular:

• Recabar información para determinar las actividades de tratamiento sobre los datos;
• Analizar y comprobar la conformidad con la normativa de las citadas actividades;
• Informar, asesorar y emitir recomendaciones al respecto.

Ahora bien, según el propio Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, o RGPD/GDPR), velar por la protección de tales datos también incluye el hecho de garantizar su libre circulación con las garantías suficientes.

Es de destacar que el delegado de protección de datos permite igualmente configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. Esta posibilidad evita la imposición de sanciones y resulta muy útil como vía alternativa, siendo muy considerado por las autoridades de control en protección de datos.

2. ¿Es obligatorio contar con DPD?

Cada organización debe analizar (y dejar trazado este análisis a través del informe jurídico pertinente) si tiene la obligación o no de contar con uno.

Así, las entidades del sector público están obligadas por ley a tenerlo, pero también ciertas entidades del sector privado que lleven a cabo operaciones de tratamiento específicas que impliquen, por ejemplo, la observación habitual y sistemática de interesados a gran escala, o el tratamiento a gran escala de categorías especiales de datos personales, como los datos de salud.

En este sentido, el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), define de forma clara algunas situaciones en las que será obligatorio contar con uno: centros docentes, centros sanitarios, prestadores de servicios de la sociedad de la información cuando elaboren perfiles de usuarios a gran escala, establecimientos financieros de crédito; las entidades aseguradoras y reaseguradoras; las empresas de servicios de inversión; distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural; operadores de juego en línea; servicios de telecomunicaciones; entidades que desarrollen actividades de publicidad y prospección comercial que realicen tratamientos de datos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; empresas de seguridad privada, etc.

Así, el DPO puede estar o no integrado en la organización del responsable o encargado y ser tanto una persona física, como una persona jurídica.

3. ¿Qué conocimientos y capacidades debe tener un DPD?

El DPD debe contar con los conocimientos y capacidades necesarias al efecto el delegado de protección de datos, debiendo designarse atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como a su capacidad para desempeñar las funciones indicadas.

Y es que, tal y como indica la ley y las autoridades de control competentes, un factor importante es que este tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD. Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo en la organización, de los sistemas de información con los que cuenta, así como de las necesidades de seguridad y protección de datos de la entidad.

Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación específicos asociados a la privacidad.

4. ¿Quiénes pueden ser DPD en una Organización?

Los DPD, además de contar con las conocimientos y capacidades anteriores, deben poder realizar sus tareas con el suficiente grado de autonomía dentro de su organización, rindiendo cuentas directamente al más alto nivel jerárquico de la misma, por ejemplo, a un Consejo de Administración.

Además, si bien los DPD pueden desempeñar otras funciones y cometidos, no obstante, ello requiere que la organización garantice que dichas funciones y cometidos no den lugar a conflicto de intereses, debiéndose evitar situaciones de conflictos de interés.

Como norma general, los cargos en conflicto dentro de una organización pueden incluir los puestos de alta dirección (tales como director general, director legal, director de operaciones, director financiero, director de recursos humanos, o director del departamento de TI, entre otros muchos). Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPD que represente al responsable o al encargado del tratamiento ante los tribunales en casos relacionados con la protección de datos.

La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente, en el caso de España, la AEPD, que cuenta con una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. De forma que será posible conocer de forma sencilla y transparente si una entidad, obligada quizás por ley a contar con un DPD, en cambio no lo tiene, puesto que, además de nombrarlo, se debe notificar este a la AEPD en el plazo de 10 días desde su nombramiento interno.

5. ¿Con qué medios o recursos debe contar un DPD?

El DPD debe contar con los recursos necesarios para poder realizar sus funciones.

Dependiendo de la naturaleza de las actividades de tratamiento y de la actividad y el tamaño de la organización, se deberán asignar los siguientes recursos al DPD:

• apoyo activo al DPD por parte de la alta dirección;
• tiempo suficiente para que el DPD cumpla con sus funciones;
• apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal según se requiera;
• comunicación oficial de la designación del DPD a toda la plantilla;
• acceso a otros servicios dentro de la organización de modo que los DPD puedan recibir apoyo esencial, datos e información de dichos servicios;
• formación continua.

Es por ello que, dependiendo del tamaño, las actividades de tratamiento y necesidades específicas de la organización, resulta muy recomendable que el DPD cuente con los recursos y el apoyo suficiente para el correcto desarrollo de sus funciones (siendo uno de los elementos que se van a evaluar por parte de la AEPD en la citada acción coordinada). En la práctica, es muy habitual que el DPD cuente con una Oficina de Apoyo, ya sea interna, externa o de carácter híbrido. El profundo conocimiento de la legislación aplicable requerido por la normativa vigente recomienda contar con servicios legales acreditados en este ámbito.