Requisitos e incompatibilidades del Delegado de Protección de Datos

Delegado de Protección de Datos

Análisis

El Capítulo IV del RGPD, analiza las figuras del responsable del tratamiento, el encargado del tratamiento y sus obligaciones. La sección 4 de este capítulo se dedica al Delegado de Protección de Datos (DPD), además esta información se amplia y concreta en el Capítulo III de la LOPDyGDD.

Conocimientos y habilidades

El artículo 37, apartado 5, establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

El artículo 35 de la LOPDyGDD permite demostrar tal cualificación con la “titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Posición del DPD

El Delegado de Protección de Datos puede ser un puesto interno de la empresa (contrato laboral) o puede contratarse en el marco de un contrato de servicios.

En caso de ejercerse en el marco de un contrato de servicios suscrito con una persona física o una organización es fundamental:

  • Que el contrato recoja claramente las funciones del DPD, así como una definición de responsabilidades.
  • Si se ha contratado con una organización, en aras a la claridad jurídica, la buena organización, y con el fin de evitar conflicto de intereses, debe asignarse claramente las tareas dentro del equipo DPD y designar una persona física como persona “a cargo”. Estos puntos deben especificarse en el contrato de servicios.
  • Se debe firmar un contrato de encargo de tratamiento con la empresa contratada.

En el caso concreto de una agrupación de empresas que nombren un único DPD, la empresa a la que pertenezca la persona física que vaya a asumir dicho cargo deberá contar con un contrato de prestación de servicios con las demás, y se deberá analizar el posible conflicto de intereses con todas ellas.

Una vez nombrado, el DPD participa en todas las cuestiones relativas al protección de datos personales en la organización, desde la etapa más temprana posible.

El DPD debe contar también con recursos suficientes para el cumplimiento de sus funciones, y con el apoyo activo de la alta dirección de la entidad.

Independencia

El artículo 38.3 del RGPD, al regular la posición del delegado de protección de datos, subraya su independencia al señalar que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado” .

Y su apartado 6 añade que “el delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”.

La ausencia de conflicto de intereses aparece como íntimamente ligada a la actuación independiente del DPD.  Esto supone, tal y como señala el Grupo de Trabajo del Articulo 29, que el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.

Esto es aplicable tanto en el caso de DPD designado dentro de la organización, como el DPD en el marco de un contrato de servicios.

El Grupo del artículo 29 señala como cargos en conflicto los puestos de alta dirección (director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos, director del departamento de TI), también aquellos puestos inferiores que determinan los fines y medios del tratamiento, o el abogado del responsable del tratamiento ante los tribunales en casos relacionados con protección de datos.

En este sentido, la Agencia Española de Protección de Datos se pronunció en su informe 170/2018 declarando la incompatibilidad de los roles de DPD y de responsable de seguridad a efectos del Esquema Nacional de Seguridad.

Haciendo un recorrido en los criterios marcados por otras autoridades de la UE, nos encontramos que, por ejemplo, la autoridad de Protección de datos de Baviera en octubre de 2016 se pronunció, asimismo, sobre la incompatibilidad de los puestos de director de departamento y Delegado de Protección de Datos.

Asimismo, el Consejo General de la Abogacía portugués se pronunció en diciembre de 2018 sobre la incompatibilidad de las funciones de DPD y las del abogado in-house.

En abril de este mismo año la Autoridad Belga de Protección de datos (DPA) ha impuesto una sanción de 50.000 euros a una compañía por incumplimiento del artículo 38 RGPD.

La DPA entiende que existe incompatibilidad o conflicto de interés en el hecho de que una misma persona desempeñe el cargo de Responsable de Compliance o cumplimiento normativo, Auditoría interna y Gestión de riesgos, de manera conjunta con las funciones de DPD.

Se señala que es incompatible la función de responsable de los datos de un departamento con la función de DPD, al carecer de la independencia necesaria en la supervisión y control. En este sentido, el hecho de que el DPD tenga poder de decisión sobre determinados tratamientos impide que pueda ejercer sus funciones de supervisión en materia de protección de datos de forma independiente, de donde deriva el conflicto de intereses.

En el caso concreto de la resolución belga, la compañía argumentó la función meramente consultiva de las posiciones en los departamentos, afirmando la autoridad de control que no puede sostenerse la exigida independencia en la persona que no sólo forma parte de un determinado departamento, sino que es responsable de asesorarle y, al mismo tiempo, ejerce la función de DPD.

Conclusiones

Del análisis de la normativa y de las resoluciones de autoridades de la UE, uno de los mayores inconvenientes que podemos encontrarnos en la designación de un DPO es el perfil elegido y las posibles incompatibilidades de funciones que pudiera existir. En este sentido, y como norma general, podrían entrar en ese conflicto de intereses, puestos de alta dirección y otros.

Autora: María Herrera (Consultora y Delegada de Protección de Datos

2 comentarios de “Requisitos e incompatibilidades del Delegado de Protección de Datos

  1. Andres dice:

    Soy director de un centro de enseñanza, me gustaría saber si tenemos obligación de designar un Delegado de Protección de Datos. En caso de que sea obligatorio ¿puede asumir la figura de DPO un maestro del centro?. Muchas gracias

    • Sergio Franco dice:

      Sí, los centros de enseñanza están catalogados como sujetos obligados. En cualquier caso, es un valor añadido para el centro disponer de una persona que dote a la organización de una cultura de privacidad y demuestra su diligencia frente a posibles incidentes.
      Para poder asumir la figura del DPO debe tener independencia en sus funciones, tener conocimientos jurídicos y experiencia práctica en materia de protección de datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.