Publicado en Expansión, 2 de marzo de 2018.
Uno de los mayores inconvenientes que podemos encontrarnos en el proceso de designación de un DPO, es el perfil elegido y la posible incompatibilidad de funciones que pudiera existir.
Si bien el Reglamento General de Protección de Datos (RGPD) establece en su artículo 38 que el delegado de protección de datos (DPO) no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo en los supuestos de dolo o negligencia grave, y que, a priori, no es responsable personalmente del incumplimiento de la normativa de protección de datos, siendo el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que los tratamientos se realizan de conformidad con el RGPD, puede darse el caso que, la dejación de sus funciones, un mal asesoramiento o la mala praxis profesional puedan conllevar determinadas responsabilidades, incluso en el orden penal. Estas responsabilidades, en el orden penal, pueden derivar de acciones de comisión pura o, incluso, de la comisión de tipos delictivos por comisión por omisión, en relación con sus funciones o posición de garante en el tratamiento de datos personales.
No obstante, uno de los mayores inconvenientes que podemos encontrarnos en el proceso de designación de un DPO en el seno de la entidad, es el perfil elegido y la posible incompatibilidad de funciones que pudiera existir. Este aspecto se encuentra en el debate constante dentro de las entidades, no sólo en cuanto a personas, sino a nivel de departamentos.
Así, el Grupo de Trabajo del Artículo 29, en relación con las incompatibilidades y posibles conflictos de interés, establece que, si bien el artículo 38 del RGPD posibilita que el DPO desempeñe otras funciones y cometidos, éstas no podrán implicar un conflicto de intereses, debiendo el DPO actuar, en todo momento, con un criterio de independencia. Así, establece el Grupo de Trabajo que, el DPO, no podrá ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales, debiendo considerarse caso por caso. Así las cosas, y como norma general, parece que podrían entrar en ese conflicto de intereses, puestos de alta dirección y otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento.
Sobre este aspecto, ya en 2016, la Autoridad de Protección de Datos de Baviera sancionaba a una empresa por ignorar la petición de designar a otro DPO diferente del propio Director de Sistemas, atendiendo al conflicto de interés que el nombramiento conllevaba. En este sentido, se entiende la incompatibilidad de funciones, en tanto el DPO actuaba también de administrador de los sistemas, supervisándose a sí mismo y, anulando, por tanto, la independencia necesaria.
Esta situación, puede repetirse con otras figuras en el seno de las empresas, por lo que el proceso de identificación del perfil, la dotación de recursos y funciones o su posicionamiento en el organigrama, adquieren una mayor relevancia, de cara, no sólo a cumplir con la nueva normativa, sino a no incurrir en un incumplimiento derivado de un nombramiento meramente formal, al que no puedan garantizarse los aspectos establecidos en el RGPD y Proyecto de Ley Orgánica española.
¿Cómo integrar el DPO en el marco de la empresa?
Atendiendo a sus funciones y conforme a la normativa europea, el DPO debe formar parte de todos los debates, análisis o discusiones que tengan como materia, directa o indirectamente, el tratamiento de datos personales en el seno de la organización. En el desarrollo de sus funciones deberá reportar a la más alta dirección, cuestión que puede generar dudas, en relación con la definición de este órgano, desde una figura societaria o desde un punto de vista organizativo y funcional.
Así las cosas, debe ser una figura independiente y autónoma dentro de la organización, con el apoyo de la alta dirección, debiendo tener recursos y tiempo para afrontar sus funciones, facilitándosele la formación necesaria y definiéndose las políticas de comunicación necesarias para que el personal conozca al DPO, sus funciones y los medios de contacto.
Para la ejecución de sus funciones y aportar las garantías suficientes, deberá establecerse un Estatuto del DPO, a través del cual se faciliten los recursos necesarios para el desempeño de sus funciones, se garantice y proteja su independiencia y se establezca el sistema de rendición de cuentas directamente al más alto nivel jerárquico.
¿Cómo plantearse la externalización del DPO?
Si bien el RGPD, en su artículo 37, posibilita la externalización de esta figura, es decir, ejecutándose en base a un contrato de prestación de servicios, aquellas empresas que opten por esta fórmula, deberán establecer las suficientes garantías, atendiendo a la responsabilidad de la empresa en relación con la elección del proveedor, su experiencia y cualificaciones para las funciones a desarrollar, aspectos íntimamente ligados al concepto de accountability desarrollado por el RGPD, entendido como el establecimiento de una serie de medidas para aumentar la responsabilidad y la rendición de cuentas de los responsables del y encargados del tratamiento para garantizar el pleno cumplimiento de la nueva normativa.
El prestador del servicio seleccionado para la externalización del DPO, deberá aportar garantías suficientes que acrediten su capacidad para aplicar medidas jurídicas, técnicas y organizativas apropiadas, conforme a los requisitos legalmente exigidos, minimizando posibles riesgos, tanto sancionatorios como reputacionales.