PROTECCIÓN DE DATOS

La elección del DPO: principales retos, funciones y riesgos que deben valorarse

Tribuna

En la recta final del proceso de adecuación de las empresas al Reglamento General de Protección de Datos (RGPD), con un deadline fijado el 25 de mayo, uno de los retos que deben abordarse es la designación de un Data Protection Officer (DPO) o Delegado de Protección de Datos.

La nueva posición en el organigrama empresarial, sobre la que tanto hemos leído y hablado, constituye un pilar básico en el cumplimiento de la nueva normativa europea y juega sin duda un rol importantísimo en el seguimiento y acreditación de dicho cumplimiento. Para entender esta nueva figura y poder designar el perfil concreto que pueda llevar a cabo estas funciones, debemos tener en cuenta lo establecido en el propio RGPD, el Proyecto de Ley Orgánica de Protección de Datos, las Directrices sobre los delegados de protección de datos del Grupo de Trabajo del Artículo 29, las guías del Information Commissioner's Office o el Informe de la Confederation of European Data Protection Organizations (CEDPO).

Igualmente, deben tenerse en consideración los Estándares Internacionales sobre Protección de Datos Personales y Privacidad aprobados en la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en noviembre de 2009 en Madrid, en las que se avanzaba sobre la oportunidad y designación de delegados de protección de datos por parte de la Administración y las empresas.

¿Quién debe designar un Delegado de Protección de Datos?

Si bien el RGPD (artículos 37 a 39) establece tres casos en los que será obligatorio la designación de un DPO por el responsable y el encargado del tratamiento: (i) cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial (sobre este aspecto, el Grupo de Trabajo del Artículo 29, especifica que, aquellos casos en los que hay funciones públicas llevadas a cabo por terceros que no tienen naturaleza pública, pese a no ser obligatoria para éstos a priori, podría ser una buena práctica), (ii) cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala (el Grupo de Trabajo del artículo 29 interpreta el término habitual, entre otros casos, cuando éste es recurrente en el tiempo, durante determinados períodos o de forma constante), o (iii) cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales (en este sentido, en relación con el concepto de gran escala, hay que tener en cuenta determinados parámetros, tales como la cantidad de interesados afectados por el tratamiento, el volumen de datos tratados, la duración y extensión geográfica del mismo).

El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, actualmente en fase parlamentaria, multiplica hasta quince los casos en que será obligatoria su designación (artículos 34 a 37): (i) colegios profesionales y sus consejos generales, (ii) centros docentes y las Universidades públicas y privadas, (iii) entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala, (iv) prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio (v) entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, (vi) establecimientos financieros de crédito, (vii) entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, (viii) empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, (ix) distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos, (x) entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, (xi) entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos, (xii) centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, (xiii) entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas, (xiv) operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, y (xv) quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Adicionalemnte, debemos recordar que el artículo 37 del RGPD es aplicable tanto a los responsables como a los encargados del tratamiento. En este sentido pueden darse casos en los que sea obligatorio para ambos, debiendo cooperar entre ellos, o que sólo uno u otro tengan que proceder a la designación atendiendo al tipo de tratamientos que realicen.

En relación con los grupos empresariales, el citado artículo 37, posibilita a un grupo empresarial designar un único DPO, siempre y cuando, éste sea fácilmente accesible desde cada establecimiento y pueda llevar a cabo las funciones que le reconoce la normativa en materia de protección de datos.

¿Qué perfil debe tener el Delegado de Protección de Datos?

En relación con su designación, el RGPD establece que el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que le son reconocidas, entre las que cabe recordar: (i) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; (ii) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes, (iii) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, (iv) cooperar con la autoridad de control, (vi) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.

Así las cosas, el RGPD establece que el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. A mayor abundamiento, el considerando 97 establece que el nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos que se realicen y de la protección exigida para los datos personales tratados, debiendo ser conforme con la sensibilidad, complejidad y cantidad de los datos que una empresa trata.

Entre los aspectos que deberán o podrán ser valorados de cara a a acreditar su conocimiento por parte de las empresas, se encuentran las certificaciones oficiales. En este sentido la propia Agencia Española de Protección de Datos, presentaba junto a ENAC su esquema de certificación. Certificación que, sin ser obligatoria, aporta una mayor seguridad jurídica a DPOs y empresas dentro del proceso de designación.

Otros conocimientos necesarios para el desempeño de sus funciones por el DPO, atenderán al conocimiento del sector empresarial y de la organización empresarial, el tipo de operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y necesidades de seguridad y protección de datos del responsable o el encargado del tratamiento, así como, capacidad para fomentar una cultura de protección de datos dentro de la organización.

Así, el propio Grupo de Trabajo del Artículo 29, reconoce, entre las cualidades que le son exigibles al DPO, cualidades personales deben incluir por ejemplo integridad y alta ética profesional, capacidades de comunicación, así como, habilidades personales y empatía a la hora de lidiar con situaciones relativas a la gestión de reclamaciones o posibles discrepancias que se puedan producir entre los criterios empresariales y la interpretación normativa.

No debe olvidarse que, dentro del deber de acreditar el cumplimiento normativo por parte de responsables y encargados de tratamiento, será fundamental poder defender la elección de un determinado perfil o proveedor para la prestación de este servicio y las funciones que conlleva, aportando la seguridad jurídica necesaria en el marco del cumplimiento normativo.

Dentro del proceso de designación y elección del perfil y profesional, interno o externo, que desarrolle estas funciones en el seno de las empresas, quizás sea recomendable que el mismo se participe del proceso de adecuación a la nueva normativa, un aspecto que facilita su conocimiento del funcionamiento de la empresa y medidas implantadas.

Responsabilidades del DPO en el ejercicio de sus funciones

Si bien el RGPD establece en su artículo 38 que el DPO no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo en los supuestos de dolo o negligencia grave, y que, a priori, no es responsable personalmente del incumplimiento de la normativa de protección de datos, siendo el responsable o el encargado del tratamiento quienes está obligado a garantizar y ser capaz de demostrar que los tratamientos se realizan de conformidad con el RGPD, puede darse el caso que, la dejación de sus funciones, un mal asesoramiento o la mala praxis profesional puedan conllevar determinadas responsabilidades, incluso en el orden penal, a modo de ejemplo, debe recordarse el deber secreto y confidencialidad (artículo 38 del RGPD), o la no adopción de sus funciones establecidas legalmente. Estas responsabilidades, en el orden penal, pueden derivar de acciones de comisión pura o, incluso, de la comisión de tipos delictivos por comisión por omisión, en relación con sus funciones o posición de garante en el tratamiento de datos personales.

Conflictos de intereses y régimen de incompatibilidades

No obstante, uno de los mayores inconvenientes que podemos encontrarnos en el proceso de designación de un DPO en el seno de la entidad, es el perfil elegido y la posible incompatibilidad de funciones que pudiera existir. Este aspecto se encuentra en el debate constante dentro de las entidades, no sólo en cuanto a personas, sino a nivel de departamentos.

Así, el Grupo de Trabajo del Artículo 29, en relación con las incompatibilidades y posibles conflictos de intereses, establece que, si bien el artículo 38 del RGPD posibilita que el DPO desempeñe otras funciones y cometidos, éstas no podrán implicar un conflicto de intereses, debiendo el DPO actuar, en todo momento, con un criterio de independencia. Así, establece el Grupo de Trabajo que, el DPO, no podrá ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales, debiendo considerarse caso por caso. Así las cosas, y como norma general, parece que podrían entrar en ese conflicto de intereses, puestos de alta dirección y otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento.

Sobre este aspecto, ya en 2016, la Autoridad de Protección de Datos de Baviera sancionaba a una empresa por ignorar la petición de designar a otro DPO diferente del propio Director de Sistemas, atendiendo al conflicto de intereses que el nombramiento conllevaba. En este sentido, se entiende la incompatibilidad de funciones, en tanto el DPO actuaba también de administrador de los sistemas, supervisándose a sí mismo y, anulando, por tanto, la independencia necesaria.

Esta situación, puede repetirse con otras figuras en el seno de las empresas, por lo que el proceso de identificación del perfil, la dotación de recursos uy funciones o su posicionamiento en el organigrama, adquieren una mayor relevancia, de cara, no sólo a cumplir con la nueva normativa, sino a no incurrir en un incumplimiento derivado de un nombramiento meramente formal, al que no puedan garantizarse los aspectos establecidos en el RGPD y Proyecto de Ley Orgánica española, a modo de ejemplo: (i) garantizar que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, (ii) el respaldo necesario al DPO en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de las mismas, el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados y garantizar que el DPO no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.

Aspectos que adquieren gran importancia, tanto en la designación interna o la externalización del servicio, en tanto, será el interlocutor, dentro de la empresa, con la autoridad de control y los propios ciudadanos, en un nuevo marco normativo donde la cuantía de las sanciones alcanza los 20 millones de euros y el daño reputacional para las empresas en estos aspectos, es difícilmente cuantificable.

¿Cómo integrar el DPO en la estructura de la empresa?

Conforme a la normativa europea, el DPO debe formar parte de todos los debates, análisis o discusiones que tengan como materia, directa o indirectamente, el tratamiento de datos personales en el seno de la organización. En el desarrollo de sus funciones deberá reportar a la más alta dirección, cuestión que puede generar dudas, en relación con la definición de este órgano, desde una figura societaria o desde un punto de vista organizativo y funcional.

Así las cosas, debe ser una figura independiente y autónoma dentro de la organización, con el apoyo de la alta dirección, debiendo tener recursos y tiempo para afrontar sus funciones, facilitándosele la formación necesaria y definiéndose las políticas de comunicación necesarias para que el personal conozca al DPO, sus funciones y los medios de contacto. En este aspecto, hay aspecto que aún deben definirse, por ejemplo, en relación con la identificación e información a facilitar, en caso de que el tratamiento se realice de manera exclusiva por el encargado del tratamiento, sírvase como ejemplo el establecimiento de sistemas de videovigilancia y las implicaciones que en este sentido tiene la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Deberá tener acceso y relación con otras áreas para poder desarrollar sus funciones, no pudiendo ser penalizado por la entidad en el desarrollo de sus funciones, debiendo garantizarse que no reciba ninguna instrucción en relación con las mismas.

En este sentido, tal y como recoge el Preámbulo del Proyecto de Ley Orgánica española, la figura del DPO adquiere una destacada importancia en el RGPD, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

Como recuerda el Preámbulo, la designación del DPO ha de comunicarse a la autoridad de protección de datos competente, que mantendrá una relación pública y actualizada de los DPOs, accesible por cualquiera, no debe olvidarse que, tal y como establece el propio RGPD, en las clausulas relativas al derecho de información, deberá informarse de esta figura, como canal e interlocutor, tanto con los ciudadanos como con las autoridades de control.

Para la ejecución de sus funciones y aportar las garantías suficientes, deberá establecerse un Estatuto del DPO, mediante el que se garantice la participación en tiempo y forma en todas las cuestiones relacionadas con datos personales, se faciliten los recursos necesarios para el desempeño de sus funciones, se garantice y proteja la independencia del DPO, se establezca el sistema de rendición de cuentas directamente al más alto nivel jerárquico y evitar posibles incompatibilidades con otras funciones y cometidos del profesional designado.

Criterios a tener en cuenta para la externalización del DPO.

Debe recordarse que el RGPD, en su artículo 37, posibilita la externalización de esta figura, es decir, ejecutándose en base a un contrato de prestación de servicios. En este sentido, deberán adoptarse las mismas garantías analizadas en el presente artículo, debiendo, adicionalmente, mediar la responsabilidad de la empresa en relación con la elección del proveedor, su experiencia y cualificaciones para las funciones a desarrollar, aspectos íntimamente ligados al concepto de acountability desarrollado por el RGPD, entendido como el establecimiento de una serie de medidas para aumentar la responsabilidad y la rendición de cuentas de los responsables del y encargados del tratamiento para garantizar el pleno cumplimiento de la nueva normativa.

Así, en caso de optar por esta opción, de cara a una plena efectividad de esta medida, la empresa de verá aportar los medios e información suficiente al DPO para el ejercicio de sus funciones tal y como si las desarrollara de forma interna (e,g, independencia, sistema de reporting, entre otros aspectos). Otro posible aspecto que puede ser planteado, es el acompañamiento del DPO designado internamente en el desarrollo de sus funciones.

En este sentido, tal y como se recoge en la nueva normativa europea y ha informado la propia Agencia Española de Protección de Datos, el responsable del tratamiento deberá adoptar todas las medidas apropiadas, incluida la elección de encargados del tratamiento y prestadores del servicio, de forma que se garantice y, por tanto, pueda acreditar la elección realizada. Así el prestador del servicio, como en el caso que nos ocupa, deberá aportar garantías suficientes aplicar medidas jurídicas, técnicas y organizativas apropiadas, conforme a los requisitos legalmente exigidos, minimizando posibles riesgos, tanto sancionatorios como reputacionales.