- Una fecha importante para el RGPD y una figura esencial en el modelo de responsabilidad proactiva
El 25 de mayo de 2020 celebramos el segundo aniversario de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), ya que había entrado en vigor el 25 de mayo de 2016 dando dos años a los Estados miembros para adecuar sus ordenamientos jurídicos. Durante estos dos años, en algunos Estados miembros (ya que en otros la figura existía antes del RGPD) las empresas y las Administraciones Públicas han incorporado la figura del delegado de protección de datos o DPD (en inglés, Data Protection Officer, DPO).
Esta figura, que surgió con la Ley Federal Alemana de Protección de Datos de 1977, sigue siendo todavía relativamente nueva en algunos Estados miembros, tales como en el nuestro. Posteriormente, la figura del DPD, en los términos que veremos, fue incluida en la ya derogada Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, Directiva 95/46/CE).
Conocer y comprender quién es y qué hace el DPD es uno de los pilares para que el modelo de responsabilidad proactiva (“accountability”) que introdujo el RGPD hace ya dos años pueda ser efectivo. El DPD, tanto si su designación es obligatoria o voluntaria, es la conciencia de la organización por lo que se refiere al cumplimiento en materia de protección de datos. El desconocimiento del estatuto jurídico del DPD, en particular su independencia como obligación y garantía; podría dar lugar, como ha ocurrido ya en otros Estados miembros, a sanciones por el incumplimiento del RGPD.
- Multas de autoridades de protección de datos por la falta de independencia del DPD
Lejos de parecer ser una cuestión teórica, algunas autoridades de protección de datos en la Unión Europea ya han impuesto multas a empresas por incumplir con la independencia del DPD.
El 28 de abril de 2020 la autoridad belga de protección de datos impuso una multa de cincuenta mil euros (50.000 €) a una empresa por incumplir el requisito de independencia del DPD al haber designado como tal al Director de Cumplimiento, Gestión de Riesgos y Auditoría. Si bien la multa puede ser recurrida, en la resolución de la autoridad belga de protección de datos se indican dos cuestiones relevantes en cuanto a haber designado al cargo indicado como DPD ya que: (1) tiene un poder de decisión sobre el despido de empleados, lo que es incompatible con la función de proporcionar asesoramiento sobre cuestiones en materia de protección de datos y (2) en relación con los tratamientos de datos que se llevan a cabo en su área, determina los fines y los medios, lo que da lugar a que sea incompatible con la figura del DPD.
Con anterioridad a esta multa, en noviembre de 2016, cuando el RGPD había entrado en vigor, pero no era todavía aplicable, la autoridad bávara de protección de datos multó a una empresa por designar al Director de Tecnologías de Información (TI) como DPD, ya que no garantizaba la independencia como consecuencia del conflicto de interés existente debido a que tendría que supervisarse a sí mismo por lo que se refiere al cumplimiento en materia de protección de datos.
III. La independencia del DPD, ¿novedad en el RGPD?
La independencia del DPD, como obligación para quien le designa y garantía también para esta figura, es previa al RGPD.
Es necesario recordar que la derogada Directiva 95/46/CE preveía, en el segundo párrafo del apartado 2 del artículo 18, que los Estados miembros podrían simplificar u omitir la obligación de notificación de ficheros a la autoridad de protección de datos si se había designado a “un encargado de protección de los datos personales” que entre sus funciones hiciera aplicar “de manera independiente” la normativa sobre protección de datos en la organización, es decir, en el ámbito interno.
En este mismo sentido, la Comisión Europea definió al DPD como “una persona responsable en el seno de un responsable o un encargado del tratamiento para supervisar y monitorear de una forma independiente la aplicación interna y el respeto de las normas sobre protección de datos. El DPD puede ser tanto un empleado como un consultor externo (traducción de “A person responsible within a data controller or a data processor to supervise and monitor in an independent manner the internal application and the respect of data protection rules. The DPO can be either an internal employee or an external consultant”) (Documento de trabajo de los servicios de la Comisión Europea sobre la evaluación de impacto relativo a la propuesta de Reglamento General de Protección de Datos, SEC (2012) 72 final, de 25 de enero de 2012, citado en el Memento Protección de Datos 2019-2020, Lefebvre, Madrid, 2019).
También en el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (derogado por el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018), indicaba ya entonces que una de las funciones que tenía el “responsable de la protección de datos” (traducción en la versión en español de data protection officer) era la de “garantizar de forma independiente la aplicación interna” en las instituciones y organismos de la Unión Europea del citado Reglamento. Cabe mencionar que durante la aplicación del Reglamento (CE) nº 45/2001, el Supervisor Europeo de Protección de Datos publicó varios documentos sobre el DPD que no deben olvidarse y que pueden ser un referente a seguir, en particular, en las Administraciones Públicas por lo que se refiere al DPD.
- La independencia del DPD implica evitar todo conflicto de interés
Quien tenga que designar o designe a un DPD tiene que asegurarse y garantizar a lo largo del tiempo su independencia, evitando cualquier conflicto de interés. La independencia del DPD no implica una prohibición de que pueda desarrollar otras actividades, siempre que estas no den lugar, entre otras cuestiones, a que el DPD no tenga el tiempo suficiente o adecuado para desarrollar su labor como tal, tome decisiones sobre las finalidades y medios del tratamiento de los datos, tenga que rendir cuentas sobre su actividad a un superior jerárquico o pueda ser removido (despedido en el caso de una persona trabajadora o que se rescinda su contrato si es mercantil) por el desempeño de otras funciones.
En este sentido, el artículo 38.6 del RGPD prevé que el DPD “podrá desempeñar otras funciones y cometidos”, siempre que quien le laya designado garantice que “dichas funciones y cometidos no den lugar a conflicto de intereses”. Sobre esta cuestión el Grupo de Trabajo del artículo 29, en la primera versión de sus directrices sobre el DPD (WP 243) indicó ya, en nota a pie de página, que “[p]or regla general, los cargos en conflicto pueden incluir los puestos de alta dirección (tales como director ejecutivo, director de operaciones, director económico-financiero, director médico, jefe del departamento de marketing, director de recursos humanos o jefe del departamento de TI)”. Posteriormente, en la versión revisada de dichas directrices, la nota a pie de página pasó a ser parte relevante el apartado relativo al conflicto de interés y se añadió que “también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPD que represente al responsable o al encargado del tratamiento ante los tribunales en casos relacionados con la protección de datos” (WP 243 rev.01).
Y también el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), a través del informe jurídico 2018/0170, concluyó que la figura del DPD es incompatible con la del responsable de seguridad prevista en el Esquema Nacional de Seguridad (ENS) ya que “las funciones del RSEG tienen un alcance limitado en el RGPD frente al alcance de las competencias del DPD”.
Es decir, el conflicto de interés puede surgir por diversas y múltiples razones, de manera que determinar los fines y medios del tratamiento de los datos no es la única. Todo riesgo de injerencia en las labores del DPD o imposibilidad de que las desarrolle plenamente, tales como la supervisión del cumplimiento, dará lugar a un conflicto de interés que deberá tener en cuenta y evaluar quien designe al DPD.
- Posición en el organigrama y línea de reporte directa
La posición del DPD en el organigrama de la organización tiene que garantizar también su independencia. Tener que rendir cuentas a un supervisor o la inclusión del DPD como parte del departamento jurídico o legal, TI, cumplimiento (“compliance”) o auditoría, podría ser un motivo para concluir que no se cumple con la necesaria independencia del DPD.
Al igual que ocurrió con las versiones en español de la Directiva 95/46/CE y del Reglamento (CE) nº 45/2001 por lo que se refiere a la traducción de la figura del DPD, en el RGPD hay una diferencia relevante entre la versión en inglés y la traducción al español en cuanto a que el DPD reportará al nivel más alto de la organización.
Mientras que la versión en inglés del RGPD indica “shall directly report to the highest management level of the controller or the processor” (art. 38.3), la traducción en español es “rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”. Si el DPD rindiera cuentas dejaría de ser independiente. Por una parte, “report” podría haber sido traducido, considerando el contexto, como reportar o informar, que es lo que hace el DPD cuando informa a la alta dirección sobre las cuestiones en materia de protección de datos. Y, por otra parte, podría haberse utilizado el término “gestión” en lugar de “jerárquico”, dadas las connotaciones que esto puede tener al referirse a la independencia del DPD. E incluso cabría plantear si el RGPD no debió hacer referencia en este punto a que la protección de datos es tanto una cuestión relativa tanto a la gestión como al gobierno de la organización, de manera que el DPD a quien reporta/informa (o debería reportar/informar) directamente es al propio responsable o encargado del tratamiento.
Por lo tanto, la independencia del DPD tiene que llevarse al y garantizarse en el organigrama de la organización, sea pública o privada.
- ¿Es posible la independencia en el caso de los funcionarios?
La respuesta a esta pregunta, a pesar de que pudiera pensarse que los funcionarios no pueden ser independientes, es afirmativa.
Aunque el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público indica que los funcionarios están obligados a obedecer las instrucciones y órdenes profesionales de los superiores (art. 54.3) esta previsión tiene que interpretarse a la luz del RGPD por lo que se refiere a la figura del DPD.
Tal y como he tenido oportunidad de escuchar a mi maestro y director de tesis doctoral, el Dr. José Luis Piñar Mañas, en diversos foros públicos, el RGPD desplaza a la normativa nacional contraria a aquél. Esto significa que, si un funcionario es designado como DPD, deberá tener asegurada su independencia en el desempeño de sus funciones como tal, sin perjuicio de que obedezca a las instrucciones y órdenes en las demás atribuciones que tenga como funcionario. No cabe duda de que son compatibles y de que la independencia como DPD tiene que estar también garantizada en el sector público.
VII. ¿Y si el DPD es “externo” es encargado del tratamiento?
Ni el DPD es externo ni puede ser encargado del tratamiento, ya que si lo fuera no sería independiente. Como tuve oportunidad de defender en mi tesis doctoral, dirigida por el Dr. Piñar Mañas, el DPD es parte de la organización que le designa, aunque lo haga sobre la base de una relación mercnatil, en lugar de un contrato de trabajo.
Es decir, “interno” o “externo” deben ser entendidas en este caso como etiquetas o maneras de referirse a un DPD contratado sobre la base de una relación laboral o mercantil, sin que existan ni puedan existir diferencias entre ambas situaciones por lo que se refiere a su régimen jurídico y, en particular, a su independencia.
Si préstamos atención al origen de esta figura, tampoco es posible considerar que el DPD es un encargado del tratamiento. Al respecto, debe tenerse en cuenta que la referencia al “encargado de protección de datos personales” es la traducción en la versión en español de “personal data protection official”, figura que es distinta a la del encargado del tratamiento (en inglés, processor).
Son figuras distintas, siendo precisamente la independencia del DPD la que le diferencia del encargado del tratamiento dada la obligación de este último de seguir las instrucciones del responsable en el tratamiento de los datos personales. Sin independencia, el DPD no podría ejercer de manera adecuada sus funciones, en particular la relativa a supervisar el cumplimiento de la normativa sobre protección de datos.
Y debe insistirse en que el DPD es parte de la organización lo que está estrechamente vinculado con su estatuto jurídico. Si fuera “externo”, cabría pensar que no tiene las mismas garantías que si fuera “interno”. En relación con esta cuestión lo que hizo el RGPD fue seguir la opción planteada por la Comisión Europea de dejar libertad a las empresas para que decidan cómo contratar al DPD.
En definitiva, el DPD ni es externo, en un sentido orgánico debido a su estatuto jurídico y a las funciones que desempeña (en particular la relativa a supervisar el desempeño de la normativa sobre protección de datos en la organización), ni es ni puede ser un encargado del tratamiento. De nuevo, su independencia es esencial.
VIII. ¿Qué hacer para asegurar la independencia del DPD y por qué es necesaria?
Asegurar la independencia del DPD es una obligación de quien designa al DPD, ya sea de manera obligatoria o voluntaria, y una garantía para el DPD, con independencia de que sea una persona o un grupo, así como que dicha designación recaiga en alguien de la plantilla de personas trabajadoras de una empresa, un funcionario o funcionaria, o de que se recurra a alguien contratado sobre la base de un contrato mercantil de prestación de servicios.
En la consecución de la obligación de mantener la independencia del DPD son clave tanto identificar y evaluar cualquier conflicto de interés potencial como la obligación de designarle por escrito, al margen de que sea en papel o en formato electrónico. La designación por escrito servirá también para evitar dudas sobre la posición en el organigrama, las funciones, tanto propias como otras que pudiera desarrollar, y posibles conflictos de interés del DPD, así como poder demostrar que en su designación se ha tenido en cuenta el riesgo de todo posible conflicto de interés.
Es posible afirmar que un DPD independiente es uno de los pilares para poder desarrollar el modelo de responsabilidad proactiva (“accountability”) que comenzó a aplicarse hace dos años en virtud del RGPD. Las funciones que desempeña del DPD son esenciales, ya que como subraya el Preámbulo de la LOPDGDD, “la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales”.
Es decir, y a modo de conclusión, el asesoramiento y la supervisión independientes, entre otras funciones del DPD, son y serán uno de los pilares para que el derecho fundamental a la protección de datos sea efectivo, lo que deberá ser tenido en cuenta por la Comisión Europea tanto en el informe sobre la evaluación y revisión del RGPD, que era de esperar hoy y cada cuatro años a partir de este segundo aniversario de la aplicación del RGPD.