Anàlisi de l'informe jurídic 0038/2023 sobre la posició i funcions del DPO

INFORME JURÍDIC 0038/2023 SOBRE LA POSICIÓ JURÍDICA I FUNCIONS DEL DPO

Document original analitzat: https://www.aepd.es/es/documento/2023-0038.pdf

En l'informe del Gabinet Jurídic de l'AEPD es dona resposta a diferents consultes plantejades per una entitat en relació amb la posició jurídica i funcions del delegat de protecció de dades, abordant qüestions que van més enllà de les regulades al GDPR per al DPO.

1. RESPONSABILITATS

El GDPR recull la necessitat d'establir clarament el mapa d'intervinents en tot tractament de dades, a fi de determinar amb encert l'atribució de responsabilitats.

El Responsable del tractament (RT) o, si escau, l'Encarregat del tractament (ET), són els obligats a garantir i ser capaços de demostrar que el tractament es realitza conforme al GDPR (art. 5.2 i 24.1). Així mateix, és a ells a qui el GDPR imposa obligacions específiques, jurídicament exigibles i l'incompliment del qual genera la responsabilitat corresponent, a diferència del DPO qui no és personalment responsable en cas d'incompliment.

Les Directrius WP243 del GT29 assenyalen que el GDPR estableix clarament que és el RT i no el DPO qui està obligat a aplicar mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el GDPR (art. 24.1) . El compliment de les normes en matèria de protecció de dades és responsabilitat corporativa del RT, no del DPO.

Per tant, correspon al RT o a l'ET adoptar les decisions oportunes per garantir el compliment del GDPR, establint, en virtut de la seva autonomia organitzativa, l'estructura que consideri adequada a aquests efectes.

Així mateix, correspon al RT vetllar pel compliment de les disposicions del GDPR relatives al nomenament, la posició jurídica i les funcions que corresponen al DPO, que haurà de comptar amb l'autonomia i els recursos suficients per desenvolupar la seva tasca de manera efectiva.

Les funcions del DPO s'han d'ajustar a la naturalesa assessora i supervisora que correspon, d'acord amb les previsions de l'article 39.1 del GDPR. Es tracta de funcions adreçades a garantir el compliment adequat de la normativa sobre protecció de dades personals.

El RT pren decisions atenent, o no, a l'assessorament del DPO, ja que és el RT finalment qui determina els fins i mitjans i qui assumirà les possibles conseqüències que per, els drets i llibertats de les persones, poguessin tenir els tractaments que duu a terme .

Per tant, correspon únicament i en última instància, al RT decidir la manera com seran tractades les dades. El DPO assessora, però no decideix sobre aquesta manera com les dades seran tractades.

A més de les funcions d'assessorament que el DPO té assignades, l'article 36 de la LOPDGDD preveu que el DPO podrà inspeccionar els procediments relacionats amb l'objecte de la LOPDGDD i emetre recomanacions a l'àmbit de les seves competències, i que quan apreciï l'existència de una vulneració rellevant en matèria de protecció de dades ho documentarà i ho comunicarà immediatament als òrgans d'administració i direcció del RT o l'ET.

En ambdós casos, tant en l'exercici de les seves funcions assessores i supervisores, si el RT o ET no atén els criteris del DPO recollits als seus informes o a les seves recomanacions, les Directrius sobre delegats de protecció de dades recomanen, com a bona pràctica documentar els motius pels quals no se segueix el consell del DPO.

Així mateix, quant a les relacions amb l'Autoritat de Control (AC), cal tenir en compte que correspon al DPO, d'acord amb l'article 39.1.d del GDPR, cooperar-hi, i cal destacar a aquests efectes la regulació que l'article 37 de la LOPDGDD realitza de la intervenció del DPO en cas de reclamació davant les AC:

• L'afectat podrà, amb caràcter previ a la presentació duna reclamació davant l'AC, dirigir-se al DPO de l'entitat contra la qual es reclami. En aquest cas, el DPO comunicarà a l'afectat la decisió que s'hagi adoptat en el termini màxim de dos mesos a comptar de la recepció de la reclamació.
• Quan l'afectat presenti una reclamació davant l'AC, la podrà remetre al DPO per tal que aquest respongui en el termini d'un mes. Si transcorregut aquest termini el DPO no hagués comunicat a l'AC la resposta donada a la reclamació, aquesta AC continuarà el procediment.

Si el RT té dubtes sobre la base jurídica que pugui determinar la licitud d'un tractament haurà de consultar el DPO en els supòsits en què la seva designació és obligatòria, qui haurà de prestar-li l'assessorament precís. Només en cas que el DPO tingués dubtes jurídics sobre l'assumpte sotmès a la seva consideració que no es puguin resoldre amb els criteris ja informats per l'AEPD o per tractar-se de qüestions noves derivades de l'aplicació del nou règim jurídic de protecció de dades i que tinguin un abast general en què resulti convenient un informe que contribuïsca a la seguretat jurídica, podrà elevar la consulta al Gabinet Jurídic de l'AEPD, acompanyant el seu propi informe en què s'analitzin detalladament i motivadament les qüestions objecte de consulta.

En tot cas, l'article 39.1 del GDPR s'ha de considerar, com recorden les Directrius sobre delegats de protecció de dades, com una llista de tasques mínimes de què s'ha d'encarregar el DPO, i se li pot encomanar altres tasques, com la porta del registre de les activitats de tractament (RAT); aquest registre s'ha de considerar una de les eines que permeten al DPO realitzar les funcions de supervisió de l'observança de les normes i d'informació i assessorament a l'RT o a l'ET.

Això no obstant, l'assignació d'altres tasques haurà de respectar el caràcter assessor i supervisor del DPO, sense que puguin implicar la intervenció directa en la presa de decisions referides als fins i mitjans del tractament, que afectaria la seva independència i implicarien l'existència d'un conflicte d'interessos. D'aquesta manera, la independència necessària del DPO i la necessitat d'evitar els conflictes d'interessos impedeix assignar-li responsabilitats directes en un àmbit que haurà de supervisar i en què estaria subjecte a instruccions d'altres òrgans.

Precisament, en relació amb el possible conflicte d'interessos, les Directrius sobre els delegats de protecció de dades adoptades pel Grup de Treball sobre Protecció de Dades de l'article 29, revisades per darrera vegada i adoptades el 5 d'abril de 2017, assenyalen que el DPO no pot ocupar un càrrec a l'organització que us porti a determinar els fins i mitjans del tractament de dades personals. A causa de l'estructura organitzativa específica de cada organització, això s'haurà de considerar cas per cas.

Com a norma general, els càrrecs en conflicte dins d'una organització poden incloure els llocs d'Alta Direcció (director general, director d'operacions, director financer, director mèdic, cap del departament de màrqueting, cap de recursos humans, director del departament de TI, etc.) però també altres càrrecs inferiors a l'estructura organitzativa si aquests càrrecs o llocs porten a la determinació dels fins i mitjans del tractament. Així mateix, també pot sorgir un conflicte d'interessos, per exemple, si es demana a un DPO que representi l'RT o l'ET davant dels tribunals en casos relacionats amb la protecció de dades.

Depenent de les activitats, la mida i l'estructura de l'organització, pot ser una pràctica recomanable que els RT i ET:

• Determineu els llocs que podrien ser incompatibles amb la funció de DPO.
• Elaborin normes internes a aquest efecte per evitar conflictes d'interessos.
• Incloeu una explicació més general sobre els conflictes d'interessos.
• Declareu que el vostre DPO no té cap conflicte d'interessos respecte a les seves funcions com a DPO, com a mitjà de conscienciar sobre aquest requisit.
• Incloguin salvaguardes a les normes internes de l'organització i garanteixin que l'anunci de convocatòria per al lloc de DPO o el contracte de serveis sigui prou precís i detallat per evitar un conflicte d'interessos. En aquest context, també cal tenir en compte que els conflictes d'interessos poden adoptar diverses formes en funció de si el DPO es contracta interna o externament.

2. CANVI ORGANITZATIU, RESPONSABLE DE PRIVACITAT

L'entitat consultant ha creat un nou lloc de Responsable de Privadesa i Protecció de Dades (DSPO) integrat en la seva línia jeràrquica que assumeix totes les funcions especialitzades en matèria de protecció de dades que no són les pròpies del DPO que estableixen el GDPR i la LOPDGDD . L'entitat consultant proposa una distribució de funcions entre el DPO i el Responsable de Privadesa i Protecció de Dades mitjançant un sistema de doble llista.

D'aquesta manera, correspondrien al DPO les funcions següents:

• Donar assessorament i suport als diferents llocs de treball dins de l'organització que realitzin funcions de coordinació o que tinguin responsabilitat funcional en matèria de protecció de dades i privadesa.
• Elaborar, mantenir actualitzada i controlar les evidències de compliment de protecció de dades.
• Canalitzar i detectar normes i estàndards, realitzar el mapa de compliment en privadesa i la gestió de jurisdiccions implicades.
• Assessorar en els processos de revisió i supervisió i acreditació/certificació.
• Assessorar als processos d'avaluacions d'impacte.
• Assessorar sobre quines activitats de formació internes proporcionar al personal o als directius encarregats de les activitats de protecció de dades.
• Assessorament i seguiment incidents de protecció de dades.
• Gestió de reclamacions, queixes i consultes, col·laborant amb els departaments interns.
• Col·laboració en la preparació documental per a Comitè de Direcció.
• Assessorar sobre quins àmbits han de ser objecte duna auditoria de protecció de dades interna o externa.
• Col·laborar, amb veu, però sense vot, a les reunions de Comitès, Comissions, Grups de Treball.

Quant al Responsable de privadesa i protecció de dades, se li atribueixen les funcions següents:

• Realitzar un monitoratge amb la recollida i canalització dels indicadors clau (KPI's)
• Realitzar els processos de Gestió de Riscos en Privadesa i col·laborar amb els processos d'altres sistemes.
• Realitzar els processos d'avaluacions d'impacte.
• Preparació i seguiment de la formació i conscienciació en matèria de privadesa.
• Gestió i seguiment d'incidents de protecció de dades.
• Gestió de tercers, coordinació i seguiment dels termes i obligacions relacionats amb privadesa.
• Preparació documental per a Comitès, col·laborar a les reunions de Comitès, Comissions, Grups de Treball.
• Gestió de les auditories internes o externes que la Direcció decideixi engegar.

Correspon a l'entitat consultant establir l'organització que estimi més adequada, en virtut de la seva autonomia organitzativa, per al millor compliment de les seves obligacions, respectant les funcions assessores i supervisores pròpies del DPO.

L'AEPD considera que és conforme a legislació en matèria de protecció de dades el canvi d'organització proposat, i la distribució de funcions proposada mitjançant la doble llista de competències, garantint que el DPO participi de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades.

Es tracta d'un canvi sobre la pròpia organització per al compliment adequat de la normativa sobre protecció de dades personals en l'àmbit de l'entitat consultant, per la qual cosa s'ha de garantir la participació en aquesta del DPO, i se n'ha de sol·licitar l'informe. Però aquest informe no és vinculant, per la qual cosa el RT o ET poden apartar-se'n, sempre que respecti les obligacions que li imposa el GDPR respecte del nomenament, posició i tasques del DPO, sent convenient que documenti adequadament els motius pels quals es aparta del criteri del DPO en aquells aspectes informats desfavorablement pel mateix.

3. POSICIONAMENT DEL DPO A L'ESTRUCTURA DE L'ORGANITZACIÓ

Es tracta, novament, d'una qüestió organitzativa que es pot adoptar lliurement pel RT o ET, amb l'únic límit de respectar la independència funcional del DPO, que exigeix que el delegat no rebi cap instrucció pel que fa a l'exercici de les seves funcions i rendeixi comptes directament al més alt nivell jeràrquic del RT o ET.

Això no obstant, la necessitat de retre comptes directament al més alt nivell jeràrquic, així com aquest suport que ha de prestar l'Alta Direcció, no implica necessàriament que el DPO hagi de dependre directament del màxim òrgan de direcció o administració, sinó que podrà dependre d'altres òrgans sempre que tingui el nivell adequat dins l'estructura de l'RT o ET per permetre-li l'exercici adequat de les seves funcions i se'n garanteixi la independència funcional i l'absència de conflictes d'interès.

S'estima, d'acord amb el GDPR, que el DPO depengui d'un lloc de l'Alta Direcció de l'entitat consultant, que depenen directament del President i els titulars del qual són nomenats i cessats pel Consell d'Administració i, en particular, de la Secretaria del Consell , que no té assignades funcions executives. Tot això sense perjudici que s'hagi de garantir la rendició de comptes directament al nivell jeràrquic més alt, bé en casos concrets que per la seva importància així ho requereixin, bé mitjançant l'elaboració d'un informe anual de les activitats del DPO, tal com recull les Directrius sobre delegats de protecció de dades.

D'altra banda, la necessitat de garantir la independència funcional del DPO i la protecció que se li dispensa no afecta altres qüestions derivades de la relació laboral que el DPO pot tenir amb el RT o ET, ja que aquesta independència únicament arriba a l'exercici de les seves funcions com a DPO, l'empresari conserva els poders que li atorga la normativa laboral per a l'adequat compliment i control del contracte de treball, que només es veuen modulats en la mesura necessària per garantir la independència funcional del DPO, podent exercir-los dins del respecte a aquesta independència i de manera que aquesta no es vegi perjudicada i tenint en compte que, conforme a l'article 36.2 de la LOPDGDD el DPO no podrà ser remogut ni sancionat pel RT o l'ET per exercir les seves funcions llevat que incorregués en dol o negligència greu en el seu exercici.

Per tant, en la mesura que no s'afecti directament el desenvolupament de les funcions que corresponen en virtut de la normativa sobre protecció de dades personals al DPO, el RT podrà, tal com s'indica a la consulta, exercir les funcions següents:

• Autorització de vacances i control del compliment de la jornada laboral.
  
• Aprovació de plans de formació i de carrera i control del seu compliment.
• Aplicació de les regles de promoció o retribució que corresponen a llocs del mateix nivell o categoria que l'assignat al DPO.
• Assignació de despatx o lloc a les oficines de l'empresa.
• Selecció d'eines informàtiques corporatives, com ara l'eina corporativa per al seguiment de riscos o els sistemes d'arxiu de documentació.
• Assignació de mitjans materials per a l'exercici de la seva funció, com ara la decisió de quant substituir l'ordinador o el telèfon d'empresa.

Si al DPO se li han assignat altres funcions i comeses d'acord amb l'article 38.6 del GDPR, en l'exercici d'aquestes funcions i comeses queda plenament subjecte al poder de direcció i control de l'empresari, en no quedar-ne afectades per la seva independència funcional.

Això no obstant, l'assignació d'altres funcions i comeses no poden donar lloc a conflicte d'interès, per la qual cosa no es poden tractar funcions de protecció del RT o ET que impliquin la participació en la determinació dels fins i mitjans del tractament.

4. INFORMACIÓ PER PART DEL DPO A L'ORGANITZACIÓ DE L'EXERCICI DE LES SEVES FUNCIONS

El DPO ha d'informar a la seva organització de les actuacions realitzades a l'exercici les seves funcions en qüestions com ara:

• La decisió d'elevar consulta a l'AEPD.
• El contingut d'aquestes consultes i de la resposta de l'AEPD.
• Quan sol·licita l'assessorament de consultors externs que el RT ha contractat per permetre al DPO el desenvolupament adequat de les seves funcions i del contingut d'aquest assessorament.
• Les consultes rebudes pel DPO i de la resposta.
• Els criteris que aplica en les funcions d'assessorament i control, com ara els criteris per valorar l'avaluació i el seguiment de riscos o les anàlisis d'impacte.
• La documentació que guarda per acreditar el compliment de la normativa en matèria de privadesa i protecció de dades.

El DPO ha de facilitar als RT i ET tota la informació derivada de l'exercici de les seves funcions que necessitin per al compliment de les seves obligacions, i cal recordar que el criteri del DPO no és vinculant, si bé el RT o l'ET hauran de documentar els motius pels quals no segueixen el consell del DPO, cosa que requereix, inexorablement, conèixer l'actuació desenvolupada pel DPO.

El RT o ET li poden sol·licitar tota la informació que consideri oportuna relacionada amb l'exercici de les seves funcions assessores i supervisores, i els destinataris naturals d'aquesta informació són. Com recorden les Directrius sobre els delegats de protecció de dades, aquesta notificació directa garanteix que l'Alta Direcció (p. ex. el Consell d'Administració) està informada del consell i les recomanacions del DPO, com a part de la missió del DPO d'informar i assessorar a l'RT o a l'ET. Un altre exemple de notificació directa és l'elaboració d'un informe anual de les activitats del DPO que es presentarà al nivell directiu més alt.

5. CONSULTA L'AEPD PER PART DEL DPO A INSTÀNCIES DE LA SEVA ORGANITZACIÓ

Si bé el RT o ET no poden instruir el DPO sobre la necessitat de consultar l'AC, i la Instrucció 1/2021 contempla com a regla general que les consultes es formalitzin pel DPO. El Gabinet Jurídic de l'AEPD considera que, en el cas excepcional en què davant d'una qüestió rellevant en matèria de protecció de dades personals que tingui abast general i no hi hagi un criteri previ de l'AEPD i en què el RT o ET discrepi del criteri del seu DPO i tinguin raons fundades per considerar que aquest no s'ajusta a la normativa sobre protecció de dades personals, podria formular-se la consulta a aquesta AEPD directament pel mateix RT o ET.