Document original analitzat: https://www.aepd.es/es/documento/2023-0038.pdf
En l'informe del Gabinet Jurídic de l'AEPD es dona resposta a diferents consultes plantejades per una entitat en relació amb la posició jurídica i funcions del delegat de protecció de dades, abordant qüestions que van més enllà de les regulades al GDPR per al DPO.
El GDPR recull la necessitat d'establir clarament el mapa d'intervinents en tot tractament de dades, a fi de determinar amb encert l'atribució de responsabilitats.
El Responsable del tractament (RT) o, si escau, l'Encarregat del tractament (ET), són els obligats a garantir i ser capaços de demostrar que el tractament es realitza conforme al GDPR (art. 5.2 i 24.1). Així mateix, és a ells a qui el GDPR imposa obligacions específiques, jurídicament exigibles i l'incompliment del qual genera la responsabilitat corresponent, a diferència del DPO qui no és personalment responsable en cas d'incompliment.
Les Directrius WP243 del GT29 assenyalen que el GDPR estableix clarament que és el RT i no el DPO qui està obligat a aplicar mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb el GDPR (art. 24.1) . El compliment de les normes en matèria de protecció de dades és responsabilitat corporativa del RT, no del DPO.
Per tant, correspon al RT o a l'ET adoptar les decisions oportunes per garantir el compliment del GDPR, establint, en virtut de la seva autonomia organitzativa, l'estructura que consideri adequada a aquests efectes.
Així mateix, correspon al RT vetllar pel compliment de les disposicions del GDPR relatives al nomenament, la posició jurídica i les funcions que corresponen al DPO, que haurà de comptar amb l'autonomia i els recursos suficients per desenvolupar la seva tasca de manera efectiva.
Les funcions del DPO s'han d'ajustar a la naturalesa assessora i supervisora que correspon, d'acord amb les previsions de l'article 39.1 del GDPR. Es tracta de funcions adreçades a garantir el compliment adequat de la normativa sobre protecció de dades personals.
El RT pren decisions atenent, o no, a l'assessorament del DPO, ja que és el RT finalment qui determina els fins i mitjans i qui assumirà les possibles conseqüències que per, els drets i llibertats de les persones, poguessin tenir els tractaments que duu a terme .
Per tant, correspon únicament i en última instància, al RT decidir la manera com seran tractades les dades. El DPO assessora, però no decideix sobre aquesta manera com les dades seran tractades.
A més de les funcions d'assessorament que el DPO té assignades, l'article 36 de la LOPDGDD preveu que el DPO podrà inspeccionar els procediments relacionats amb l'objecte de la LOPDGDD i emetre recomanacions a l'àmbit de les seves competències, i que quan apreciï l'existència de una vulneració rellevant en matèria de protecció de dades ho documentarà i ho comunicarà immediatament als òrgans d'administració i direcció del RT o l'ET.
En ambdós casos, tant en l'exercici de les seves funcions assessores i supervisores, si el RT o ET no atén els criteris del DPO recollits als seus informes o a les seves recomanacions, les Directrius sobre delegats de protecció de dades recomanen, com a bona pràctica documentar els motius pels quals no se segueix el consell del DPO.
Així mateix, quant a les relacions amb l'Autoritat de Control (AC), cal tenir en compte que correspon al DPO, d'acord amb l'article 39.1.d del GDPR, cooperar-hi, i cal destacar a aquests efectes la regulació que l'article 37 de la LOPDGDD realitza de la intervenció del DPO en cas de reclamació davant les AC:
Si el RT té dubtes sobre la base jurídica que pugui determinar la licitud d'un tractament haurà de consultar el DPO en els supòsits en què la seva designació és obligatòria, qui haurà de prestar-li l'assessorament precís. Només en cas que el DPO tingués dubtes jurídics sobre l'assumpte sotmès a la seva consideració que no es puguin resoldre amb els criteris ja informats per l'AEPD o per tractar-se de qüestions noves derivades de l'aplicació del nou règim jurídic de protecció de dades i que tinguin un abast general en què resulti convenient un informe que contribuïsca a la seguretat jurídica, podrà elevar la consulta al Gabinet Jurídic de l'AEPD, acompanyant el seu propi informe en què s'analitzin detalladament i motivadament les qüestions objecte de consulta.
En tot cas, l'article 39.1 del GDPR s'ha de considerar, com recorden les Directrius sobre delegats de protecció de dades, com una llista de tasques mínimes de què s'ha d'encarregar el DPO, i se li pot encomanar altres tasques, com la porta del registre de les activitats de tractament (RAT); aquest registre s'ha de considerar una de les eines que permeten al DPO realitzar les funcions de supervisió de l'observança de les normes i d'informació i assessorament a l'RT o a l'ET.
Això no obstant, l'assignació d'altres tasques haurà de respectar el caràcter assessor i supervisor del DPO, sense que puguin implicar la intervenció directa en la presa de decisions referides als fins i mitjans del tractament, que afectaria la seva independència i implicarien l'existència d'un conflicte d'interessos. D'aquesta manera, la independència necessària del DPO i la necessitat d'evitar els conflictes d'interessos impedeix assignar-li responsabilitats directes en un àmbit que haurà de supervisar i en què estaria subjecte a instruccions d'altres òrgans.
Precisament, en relació amb el possible conflicte d'interessos, les Directrius sobre els delegats de protecció de dades adoptades pel Grup de Treball sobre Protecció de Dades de l'article 29, revisades per darrera vegada i adoptades el 5 d'abril de 2017, assenyalen que el DPO no pot ocupar un càrrec a l'organització que us porti a determinar els fins i mitjans del tractament de dades personals. A causa de l'estructura organitzativa específica de cada organització, això s'haurà de considerar cas per cas.
Com a norma general, els càrrecs en conflicte dins d'una organització poden incloure els llocs d'Alta Direcció (director general, director d'operacions, director financer, director mèdic, cap del departament de màrqueting, cap de recursos humans, director del departament de TI, etc.) però també altres càrrecs inferiors a l'estructura organitzativa si aquests càrrecs o llocs porten a la determinació dels fins i mitjans del tractament. Així mateix, també pot sorgir un conflicte d'interessos, per exemple, si es demana a un DPO que representi l'RT o l'ET davant dels tribunals en casos relacionats amb la protecció de dades.
Depenent de les activitats, la mida i l'estructura de l'organització, pot ser una pràctica recomanable que els RT i ET:
L'entitat consultant ha creat un nou lloc de Responsable de Privadesa i Protecció de Dades (DSPO) integrat en la seva línia jeràrquica que assumeix totes les funcions especialitzades en matèria de protecció de dades que no són les pròpies del DPO que estableixen el GDPR i la LOPDGDD . L'entitat consultant proposa una distribució de funcions entre el DPO i el Responsable de Privadesa i Protecció de Dades mitjançant un sistema de doble llista.
D'aquesta manera, correspondrien al DPO les funcions següents:
Quant al Responsable de privadesa i protecció de dades, se li atribueixen les funcions següents:
Correspon a l'entitat consultant establir l'organització que estimi més adequada, en virtut de la seva autonomia organitzativa, per al millor compliment de les seves obligacions, respectant les funcions assessores i supervisores pròpies del DPO.
L'AEPD considera que és conforme a legislació en matèria de protecció de dades el canvi d'organització proposat, i la distribució de funcions proposada mitjançant la doble llista de competències, garantint que el DPO participi de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades.
Es tracta d'un canvi sobre la pròpia organització per al compliment adequat de la normativa sobre protecció de dades personals en l'àmbit de l'entitat consultant, per la qual cosa s'ha de garantir la participació en aquesta del DPO, i se n'ha de sol·licitar l'informe. Però aquest informe no és vinculant, per la qual cosa el RT o ET poden apartar-se'n, sempre que respecti les obligacions que li imposa el GDPR respecte del nomenament, posició i tasques del DPO, sent convenient que documenti adequadament els motius pels quals es aparta del criteri del DPO en aquells aspectes informats desfavorablement pel mateix.
Es tracta, novament, d'una qüestió organitzativa que es pot adoptar lliurement pel RT o ET, amb l'únic límit de respectar la independència funcional del DPO, que exigeix que el delegat no rebi cap instrucció pel que fa a l'exercici de les seves funcions i rendeixi comptes directament al més alt nivell jeràrquic del RT o ET.
Això no obstant, la necessitat de retre comptes directament al més alt nivell jeràrquic, així com aquest suport que ha de prestar l'Alta Direcció, no implica necessàriament que el DPO hagi de dependre directament del màxim òrgan de direcció o administració, sinó que podrà dependre d'altres òrgans sempre que tingui el nivell adequat dins l'estructura de l'RT o ET per permetre-li l'exercici adequat de les seves funcions i se'n garanteixi la independència funcional i l'absència de conflictes d'interès.
S'estima, d'acord amb el GDPR, que el DPO depengui d'un lloc de l'Alta Direcció de l'entitat consultant, que depenen directament del President i els titulars del qual són nomenats i cessats pel Consell d'Administració i, en particular, de la Secretaria del Consell , que no té assignades funcions executives. Tot això sense perjudici que s'hagi de garantir la rendició de comptes directament al nivell jeràrquic més alt, bé en casos concrets que per la seva importància així ho requereixin, bé mitjançant l'elaboració d'un informe anual de les activitats del DPO, tal com recull les Directrius sobre delegats de protecció de dades.
D'altra banda, la necessitat de garantir la independència funcional del DPO i la protecció que se li dispensa no afecta altres qüestions derivades de la relació laboral que el DPO pot tenir amb el RT o ET, ja que aquesta independència únicament arriba a l'exercici de les seves funcions com a DPO, l'empresari conserva els poders que li atorga la normativa laboral per a l'adequat compliment i control del contracte de treball, que només es veuen modulats en la mesura necessària per garantir la independència funcional del DPO, podent exercir-los dins del respecte a aquesta independència i de manera que aquesta no es vegi perjudicada i tenint en compte que, conforme a l'article 36.2 de la LOPDGDD el DPO no podrà ser remogut ni sancionat pel RT o l'ET per exercir les seves funcions llevat que incorregués en dol o negligència greu en el seu exercici.
Per tant, en la mesura que no s'afecti directament el desenvolupament de les funcions que corresponen en virtut de la normativa sobre protecció de dades personals al DPO, el RT podrà, tal com s'indica a la consulta, exercir les funcions següents:
Si al DPO se li han assignat altres funcions i comeses d'acord amb l'article 38.6 del GDPR, en l'exercici d'aquestes funcions i comeses queda plenament subjecte al poder de direcció i control de l'empresari, en no quedar-ne afectades per la seva independència funcional.
Això no obstant, l'assignació d'altres funcions i comeses no poden donar lloc a conflicte d'interès, per la qual cosa no es poden tractar funcions de protecció del RT o ET que impliquin la participació en la determinació dels fins i mitjans del tractament.
El DPO ha d'informar a la seva organització de les actuacions realitzades a l'exercici les seves funcions en qüestions com ara:
El DPO ha de facilitar als RT i ET tota la informació derivada de l'exercici de les seves funcions que necessitin per al compliment de les seves obligacions, i cal recordar que el criteri del DPO no és vinculant, si bé el RT o l'ET hauran de documentar els motius pels quals no segueixen el consell del DPO, cosa que requereix, inexorablement, conèixer l'actuació desenvolupada pel DPO.
El RT o ET li poden sol·licitar tota la informació que consideri oportuna relacionada amb l'exercici de les seves funcions assessores i supervisores, i els destinataris naturals d'aquesta informació són. Com recorden les Directrius sobre els delegats de protecció de dades, aquesta notificació directa garanteix que l'Alta Direcció (p. ex. el Consell d'Administració) està informada del consell i les recomanacions del DPO, com a part de la missió del DPO d'informar i assessorar a l'RT o a l'ET. Un altre exemple de notificació directa és l'elaboració d'un informe anual de les activitats del DPO que es presentarà al nivell directiu més alt.
Si bé el RT o ET no poden instruir el DPO sobre la necessitat de consultar l'AC, i la Instrucció 1/2021 contempla com a regla general que les consultes es formalitzin pel DPO. El Gabinet Jurídic de l'AEPD considera que, en el cas excepcional en què davant d'una qüestió rellevant en matèria de protecció de dades personals que tingui abast general i no hi hagi un criteri previ de l'AEPD i en què el RT o ET discrepi del criteri del seu DPO i tinguin raons fundades per considerar que aquest no s'ajusta a la normativa sobre protecció de dades personals, podria formular-se la consulta a aquesta AEPD directament pel mateix RT o ET.