Análisis informe jurídico 0037/2020 sobre la designación del DPD


Manuel Castilleja Toscano     23/05/2022


Documento original analizado: https://www.aepd.es/es/documento/2020-0037.pdf
Resumen del documento analizado: https://www.privacydriver.com/media/files/482F1653292469.pdf

La AEPD vuelve a recordar que la certificación conforme al Esquema APD-DPD, sirve como garantía para acreditar la cualificación y capacidad profesional de los DPD.

Sólo en el caso de que el DPD tuviera dudas jurídicas sobre el asunto sometido a su consideración que no puedan resolverse con los criterios ya informados por la AEPD o por tratarse de cuestiones nuevas derivadas de la aplicación del régimen jurídico de protección de datos personales y que tengan un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica, podrá elevar dicho delegado la consulta a la AEPD, acompañando a dicha consulta su propio informe en el que se analicen detallada y motivadamente las cuestiones objeto de consulta.

El informe se basa además de en la normativa (RGPD y LOPDGDD) las "Directrices sobre los delegados de Protección de Datos” (WP243) del en Grupo del Artículo 29".

Consulta 1. La asociación consultante se interesa por la opinión respecto de los criterios para la designación del DPD, con referencia a la preparación teórica y práctica necesaria para su correcta designación, y con especial mención de la necesidad de que existan profesionales DPD tras la designación de entidades jurídicas como DPD.

Criterios sobre la preparación teórica y práctica que un DPD debe tener para su correcta designación, además de lo regulado en el RGPD y LOPDGDD:

  • Nivel de conocimientos, debe ser acorde con la sensibilidad, sensibilidad, complejidad y cantidad de los datos que una organización trata (datos de categoría especial, o penales, TID, volumen de datos).
  • Cualidades profesionales, que este tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD. El conocimiento del sector empresarial y de la organización del RT es también útil. Asimismo, el DPD debe tener un buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del RT. En el caso de una autoridad u organismo público, el DPD debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.
  • Capacidad para desempeñar sus funciones, tanto en referencia a sus cualidades personales y conocimientos como a su puesto dentro de la organización. Las cualidades personales deben incluir, por ejemplo, la integridad y un nivel elevado de ética profesional; la principal preocupación del DPD debe ser posibilitar el cumplimiento del RGPD. El DPD desempeña un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales del RGPD, como los principios relativos al tratamiento de datos, los derechos de los interesados, la protección de los datos desde el diseño y por defecto, el registro de las actividades de tratamiento, la seguridad del tratamiento y la notificación y comunicación de las violaciones de la seguridad de los datos.

En lo referente a la necesidad de dotar al DPD de los recursos necesarios para el desempeño de sus funciones se indica que deben tenerse en cuenta, en especial, los siguientes aspectos:

  • Apoyo activo a la labor del DPD por parte de la alta dirección.
  • Tiempo suficiente para que el DPD cumpla con sus funciones, lo cual es particularmente importante cuando se designa un DPD interno a tiempo parcial o cuando el DPD externo lleva a cabo sus funciones de manera complementaria a otras obligaciones. De otro modo, el conflicto entre prioridades podría dar lugar al descuido de las obligaciones del DPD. Es recomendable determinar el tiempo necesario para realizar la labor, el nivel de prioridad adecuado para las funciones del DPD y para que el DPD (o la organización) redacte un plan de trabajo.
  • Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según se requiera.
  • Comunicación oficial de la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
  • Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
  • Formación continua.
  • En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal). En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros. De manera similar, cuando la función del DPD la ejerza un proveedor de servicios externo, un grupo de personas que trabaje para dicha entidad podrá realizar de manera eficaz las funciones de DPD como equipo, bajo la responsabilidad de un contacto principal designado para el cliente. En general, cuanto más complejas o sensibles sean las operaciones de tratamiento, más recursos deberán destinarse al DPD. La función de protección de datos debe desempeñarse con eficacia y dotarse con los recursos suficientes para el tratamiento que se esté realizando.

El nombramiento de un determinado DPD que desempeñe sus servicios en relación con una multiplicidad de RT o ET, es una decisión del RT que se considera admisible siempre que se cumpla con los requisitos de capacitación, suficiencia de medios, disponibilidad e independencia que establece el RGPD, y que se garantice que dicho DPD participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, atendiendo a los requisitos de suficiencia de medios.

Lo esencial no es el número de DPD, ni siquiera que estos formen parte de la organización del RT, sino que los mismos reúnan los requisitos de capacitación e independencia que les permitan desarrollar adecuadamente las funciones que el RGPD les asigna, teniendo en cuenta que, como recuerda el Cdo. 97 del RGPD, el nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el RT o ET.

En conclusión, dichas funciones podrán desarrollarse eficazmente si se cumple con los requisitos de capacitación al proceder a la designación del DPD y se le dota de los recursos necesarios, incluido, un equipo de DPD (un DPD y su personal), equipo que deberá ser proporcional al tamaño y estructura de la organización, así como a la sensibilidad, complejidad y cantidad de los datos que trata, debiendo garantizarse la disponibilidad del DPD de modo que los interesados puedan contactar con él, así como comunicarse con las autoridades de protección de datos.

Consulta 2. La validez legal del nombramiento del/de la DPD realizado mediante designación en favor de personas vinculadas a la propia organización, que, podría poner en duda la independencia del/ de la DPD y derivar en posibles incompatibilidades en el desarrollo de su actividad.

Antes de abordar la consulta la AEPD puntualiza:

  • El RGPD establece claramente que el cumplimiento de las normas en materia de protección de datos es responsabilidad del responsable del tratamiento, no del DPD.
  • Asimismo, tal y como señala la AEPD en el Informe 170/2018, con carácter general, debe existir la necesaria separación entre el DPD regulado en el RGPD y el responsable de seguridad del ENS, sin que sus funciones puedan recaer en la misma persona u órgano colegiado. Solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como DPD de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD.

Una vez realizadas las anteriores acotaciones, en el nombramiento del DPD debe tenerse en consideración el elemento relativo a su independencia, de modo que:

  • Independencia: el artículo 38.3 RGPD establece unas garantías básicas para que los DPD actúen con independencia dentro de la organización en la que prestan sus servicios, incluyendo que no reciban ninguna instrucción relativa al ejercicio de sus tareas. Además, es importante señalar que los obligados al cumplimiento del RGPD son el RT o ET, de forma que, si adoptan decisiones contrarias a la norma y al asesoramiento prestado por el DPD, debe darse a este la posibilidad de expresar con claridad su opinión disconforme respecto a dichas decisiones.
  • Destitución: el artículo 38.3 del RGPD también se refiere a que los DPD no deben ser destituidos ni penalizados por el RT o ET por llevar a cabo sus funciones, lo que supone un refuerzo de su autonomía e independencia. Sí podría ser despedido o sancionado de conformidad con la legislación contractual, laboral o penal aplicable de cada país, por causas distintas al desempeño de sus funciones.

En relación con el posible conflicto de intereses del DPD, el artículo 38.6 permite a los DPD desempeñar otras funciones y cometidos, pero teniendo en cuenta que el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso.

Como norma general, los cargos en conflicto dentro de una organización pueden incluir los puestos de alta dirección (tales como director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI) pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento. Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPD que represente al RT o ET ante los tribunales en casos relacionados con la protección de datos.

Así, en todo caso, resultará exigible, tal y como prevé el artículo 36 de la LOPDGDD, que:

  • Cuando se trate de una persona física integrada en la organización del RT o ET el DPD no pueda ser removido ni sancionado por el RT o ET por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.
  • Se garantice la independencia del DPD dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
  • Cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos lo documente y comunique inmediatamente a los órganos de administración y dirección del RT o ET.

En definitiva, la autonomía debe conciliarse con las exigencias derivadas del principio de independencia del DPD, debiendo garantizarse que el ejercicio de sus funciones no dé lugar situaciones de incompatibilidad, ni a conflicto de intereses.

En las normas jurídicas que regulan la figura del DPD, se configuran el requisito de su independencia como consustancial al desempeño de sus funciones.

En lo referente al régimen sancionador:

  • Se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
    • El incumplimiento de la obligación de designar un DPD cuando sea exigible su nombramiento.
    • No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
  • Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del RGPD y, en particular, las siguientes:
    • No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible.

A su vez, la Disposición adicional decimosexta de la LOPDGDD, dispone que, se considera como práctica agresiva (entre otras) la señalada en su letra e), consistente en asumir, sin designación expresa del RT o ET, la función de DPD y comunicarse en tal condición con la AEPD o las autoridades autonómicas de protección de datos.