La independencia del Delegado de Protección de Datos es uno de los principales atributos que definen esta figura. Sin ésta, su labor queda bastante en entredicho. Tanto el Reglamento de Protección de Datos como la LOPDGDD abordan esta situación, regulando el modo en que debe asegurarse.
En este sentido, el responsable y el encargado del tratamiento garantizarán que el DPO no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. No debe recibir indicaciones de la dirección de la compañía para alcanzar conclusiones predeterminadas por ésta. Así mismo, no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El DPD rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
Desde la implantación en España, vía RGPD, de la figura del DPD hemos comprobado que, en ocasiones, las organizaciones no se han tomado su designación con la seriedad que debieran. En primer lugar, por una falta de comprensión por los responsables y delegados del tratamiento del rol que juegan y en segundo lugar, por otro, por la falta de adaptación del DPO a la realidad del negocio que provoca que adopte posturas dogmáticas lo que genera situaciones de conflicto con la dirección de la empresa. Por ello, antes de incorporar un puesto de este tipo, es necesario que los responsables y encargados de tratamiento, inicien un reflexión para garantizar su mejor encaje. Muchos responsables y encargados de tratamiento, han buscado más salir del paso y cumplir con la normativa que dar sentido a este puesto. Se han nombrado a personas que no cuentan la formación y capacidad requeridas por carecer de los conocimientos legales necesarios o ser totalmente ajenos al mundo de la gestión de la privacidad.
A nuestro juicio, este planteamiento constituye una mala decisión que compromete su independencia y buen hacer. El nombramiento de un Delegado de Protección de datos no debe ir exclusivamente dirigido a cumplir con un requisito legal. Desgraciadamente, es un pensamiento muy extendido, cumplir con la protección de datos porque se me exige. El Delegado de Protección de Datos es un instrumento de mejora transversal a toda la compañía.
En muchas ocasiones, dentro de la organización no existen personas disponibles que reúnan las características exigidas para ejercer como Delegado de Protección de Datos, sin que puedan permitirse incorporar más personal. Contar con un profesional solvente es el primer paso para garantizar su independencia. De está manera, podrá hacer frente a las lógicas injerencias de los responsables de la organización donde desarrolla su labor. Con frecuencia, los directivos de una organización sugieren soluciones predeterminadas a las cuestiones que plantean a su DPO. Esta situación atenta directamente contra la posición de independencia del Delegado de Protección de Datos. El DPD supervisa, asesora y propone, no es el paraguas que da cobertura a decisiones empresariales contrarias al ordenamiento jurídico.
Nombrar a un profesional competente es una decisión estratégica de la empresa. Gracias a su asesoramiento y supervisión. mejoraremos la gestión de un activo tan importante como son los datos de nuestros empleados, clientes y proveedores. Los podremos utilizar con total garantía y seguridad. La confianza de los afectados por nuestros tratamientos, a la hora de poner sus datos a nuestra disposición, se elevará. En consecuencia, mejorará su percepción de nuestra organización interna y externamente.
Una opción adecuada es la externalización de la función. Contratar un Delegado de Protección de Datos certificado nos garantiza, a priori, la mencionada solvencia. En el caso de que deseásemos mantener dicha figura en el seno de la organización, es muy recomendable contar con un asesoramiento externo especializado que ayude al DPO en el ejercicio de sus funciones.
Por otro lado, el DPD podrá actuar con independencia si cuenta con los recursos necesarios para el desempeño de su labor. El DPO no tiene por qué ser un lobo solitario dentro del organigrama. Al contrario, debe contar con los recursos necsarios para poder interactuar con el conjunto de la plantilla. Cuando tratamos con empresas de cierto tamaño o que actúen en varias jurisdicciones es imprescindible que cuente con un equipo que le acompañe, así como con una infraestructura y presupuesto, acorde a las tareas a desarrollar. De otra manera, cumplir con las exigencias de sus funciones es imposible.
Los conflictos de intereses constituyen otro riesgo que compromete la independencia del DPD. En muchas ocasiones, en entidades de tamaño medio y pequeño, suele darse el caso de que la persona designada DPO compatibiliza estas funciones con las de responsable de seguridad, recursos humanos, asesoría jurídica o dirección financiera, por citar algunas. Esta situación es habitual, legal y razonable. En todo caso, es necesario ser muy cuidadoso para no entrar en situaciones de incompatibilidad que desnaturalizarían la labor del Delegado de Protección de Datos.
Para evitar incurrir en incompatibilidades, el Delegado de Protección de Datos no debe llevar a cabo funciones que impliquen su intervención en la determinación de los fines y medios del tratamiento de datos personales. En este sentido, se ha manifestado la Agencia Española de Protección de Datos: “DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información)”
Algunas autoridades de protección de datos de la Unión Europea ya han impuesto multas a empresas por no respetar la independencia de sus DPD. El 28 de abril de 2020 la Autoridad Belga de Protección de Datos impuso una multa de cincuenta mil euros (50.000 €) por haber designado DPO al Director de Cumplimiento, Gestión de Riesgos y Auditoría. En su resolución se indican dos cuestiones relevantes que comprometían su independencia, Por un lado, esta figura ostentaba un poder de decisión sobre el despido de empleados, lo que es incompatible con la función de proporcionar asesoramiento sobre cuestiones en materia de protección de datos y por otro, se encargaba de determinar los fines y los medios en relación con los tratamientos de datos que se llevan a cabo en su área. Estas dos razones, llevan a la Autoridad Belga de Protección de datos a considerar que ambas funciones son incompatibles, en tanto tiene un poder de decisión sobre el destino de los datos que asesora y supervisa.
Con anterioridad a ésta, en noviembre de 2016, la autoridad bávara de protección de datos multó a una empresa por designar al Director de Tecnologías de Información (TI) como DPD. En ese caso, su independencia se veía comprometida ya que como DPO tendría que supervisar al Director de Tecnologías de la Información en los que se refiere al cumplimiento en materia de protección de datos, lo que suponía tener que supervisarse a sí mismo.
La independencia del Delegado de Protección de Datos depende de la capacidad de la persona designada, del conocimiento del Responsable y Encargado del Tratamiento de la realidad de sus labores, del compromiso de la organización con el desempeño de esta figura y de los recursos puestos a su disposición.
¿Te ha resultado útil esta información?
ALDC ABOGADOS © 2024 Todos los derechos reservados
