Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Cuestiones prácticas de la figura del Delegado de Protección de Datos, ¿accesible o a distancia?

Cuestiones prácticas de la figura del Delegado de Protección de Datos, ¿accesible o a distancia?
Emilio Pino, autor de esta columna, es abogado de Lawyou.
22/3/2019 06:15
|
Actualizado: 22/3/2019 00:55
|

En esta noticia se habla de:

En estos últimos meses, con motivo de la plena entrada en vigor a partir del 25 de mayo de 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la posterior entrada en vigor en España de Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, la figura del delegado de Protección de Datos, (DPD) obligatoria en los casos que establecen dichos preceptos legales, cobra toda su relevancia en el entorno profesional, empresarial y laboral nacional, y por supuesto Europeo.

Los departamentos correspondientes de cada negocio afectado ultiman sus decisiones respecto a los candidatos a desempeñar tan novedoso como relevante cargo en su plantilla.

Sin embargo, son todavía muchas las empresas asesoras en Protección de Datos, así como muchas empresas y negocios que demandan tales servicios, que continúan en la creencia de que la función de un DPD sería posible desempeñarla por un asesor externo que esas empresas de asesoría ponen nominalmente a disposición del cliente y que normalmente es algún miembro del personal de dicha asesoría, residente en grandes ciudades.

La pregunta que se plantea es: ¿Puede mi empresa trabajar con un delegado de protección de datos “a distancia”?

Creemos sinceramente, desde Lawyou, que no, o muy difícilmente al menos.

Veamos el porqué con una serie de preguntas y respuestas prácticas, para que el lector pueda llegar a una conclusión.

¿Es el delegado de protección de datos (DPD) una pieza más en el tratamiento de datos de una empresa?

No. Es mucho más que eso.

El Reglamento Europeo General de Protección de Datos (RGPD) reconoce al DPD como participante clave en el sistema de gestión de los datos.

El DPD, ya sea obligatorio o voluntario, se designa para todas las operaciones de tratamiento llevadas a cabo por el responsable o el encargado del tratamiento.

¿El DPD ha de estar accesible?

Sí, ha de estarlo.

El RGPD por ejemplo en el artículo 37, apartado 2, hablando de DPD para un grupo empresarial permite designar un único DPD, siempre que este “sea fácilmente accesible desde cada establecimiento”.

La noción de accesibilidad se refiere a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la organización.

La disponibilidad de un DPD (ya sea físicamente en las mismas instalaciones como empleado, ya sea en línea o mediante otros medios seguros de comunicación) es fundamental para garantizar que los interesados puedan contactar con el DPD.

De conformidad con la sección 4 del RGPD, la accesibilidad del DPD debe ser efectiva.

¿Puede cualquier persona que me presente la asesoría ser un DPD? 

Aunque el artículo 37, apartado 5, no especifica las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, un factor importante es que este tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD.

Resulta también de utilidad que las autoridades de control promuevan una formación adecuada y periódica para los DPD.El conocimiento del sector empresarial y de la organización del responsable del tratamiento es también útil.

Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo en la empresa o actividad de la que es delegado, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento.

¿Tiene la empresa que comunicar la existencia de un DPD?

El artículo 37, apartado 7, del RGPD requiere que el responsable o el encargado del tratamiento:

a) Publiquen los datos de contacto del DPD y

b) Comuniquen los datos de contacto del DPD a las correspondientes autoridades de control.

El objetivo de dichos requisitos es garantizar que los interesados (tanto dentro como fuera de la organización) y las autoridades de control puedan contactar de forma fácil y directa con el DPD, sin tener que contactar con ninguna otra parte de la organización.

Es decir, dejemos de pensar que unas conexiones por audio o video conferencia programadas por la alta dirección en la empresa servirán.

¿Debe participar el DPD en las decisiones de las empresas?

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales”.

La organización debe garantizar, por ejemplo, que:

a) Se invita al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios;

b) Esté presente cuando se toman decisiones con implicaciones para la protección de datos;

c) La opinión del DPD se tiene siempre debidamente en cuenta y

d) Se consulta al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

¿Se le pueden dar instrucciones al DPD sobre su trabajo en la empresa?

El artículo 38, apartado 3, establece algunas garantías básicas que contribuyen a asegurar que los DPD puedan realizar sus tareas con el suficiente grado de autonomía dentro de su organización.

En particular, los responsables o encargados del tratamiento están obligados a garantizar que el DPD “no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”.

El considerando 97 añade que los DPD “sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.

¿Quién es responsable del cumplimiento de la normativa, el DPD o la empresa?

El responsable o el encargado del tratamiento sigue siendo responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento.

Si el responsable o el encargado del tratamiento toma decisiones que son incompatibles con el RGPD y el consejo del DPD, éste debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones.

A este respecto, el artículo 38, apartado 3, establece que el DPD “rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

Dicha notificación directa garantiza que la alta dirección (p. ej. el consejo de administración) está informada del consejo y recomendaciones del DPD, como parte de la misión del DPD de informar y asesorar al responsable o al encargado del tratamiento.

Otro ejemplo de notificación directa es la elaboración de un informe anual de las actividades del DPD que se presentará al más alto nivel directivo.

¿Puede ser destituido el DPD por desarrollar sus funciones en la empresa?

El artículo 38, apartado 3, establece que el DPD “no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”.

Este requisito refuerza la autonomía de los DPD y contribuye a garantizar que actúan de manera independiente y gozan de la suficiente protección en el desempeño de sus funciones de protección de datos.

El RGPD prohíbe las sanciones únicamente si se imponen como resultado del desempeño de las funciones del DPD en cuanto tal.

Por ejemplo, es posible que un DPD considere que un tratamiento concreto es susceptible de causar un riesgo elevado y aconseje al responsable o al encargado del tratamiento que realice una evaluación de impacto relativa a la protección de datos, pero que el responsable o el encargado del tratamiento no esté de acuerdo con la valoración del DPD.

En un caso así, no puede destituirse al DPD por dar ese consejo.

¿Qué pasaría si hubiera un conflicto de intereses respecto al DPD?

El artículo 38, apartado 6, permite a los DPD “desempeñar otras funciones y cometidos”.

No obstante, requiere que la organización garantice que “dichas funciones y cometidos no den lugar a conflicto de intereses”.

Puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPD que represente al responsable o al encargado del tratamiento ante los tribunales en casos relacionados con la protección de datos.

Debe tenerse en cuenta también que los conflictos de intereses pueden adoptar diversas formas en función de si el DPD se contrata interna o externamente.

Otras Columnas por Emilio Pino:
Últimas Firmas
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano