Foto de Jhon Schnobrich en Unsplash

¿Quién puede designarse como DPD? ¿Qué requisitos hay que cumplir para poder desempeñar funciones de DPD?

El pasado 15 de marzo la Agencia Española de Protección de Datos (AEPD) comunicaba su participación en una acción europea para analizar la designación y situación de los delegados de protección de datos. Esta operación se llevará a cabo en coordinación con las 27 Autoridades en materia de Protección de Datos dentro del ámbito de la Unión Europea, así como del Comité Europeo de Protección de Datos.

El objetivo de dicha acción preventiva consistirá en examinar si la situación de los Delegados de Protección de Datos (DPD) se ajusta a las exigencias normativas establecidas en el Reglamento General de Protección de Datos (RGPD). Asimismo, indica la Autoridad de Control Española que evaluará las prácticas de más de 30.000 entidades del sector público y privado.

Las razones que han justificado dicha actuación son los nombramientos, por parte de empresas privadas y Administraciones Públicas, de DPD que no cumplen con los requisitos necesarios para poder desempeñar sus funciones, constituyendo una práctica que incumple la normativa en cuestión.

Por lo tanto, ¿qué consecuencias puede tener dicha maniobra para las empresas y las Administraciones Públicas?

En el año 2018, con la entrada en vigor del RGPD, se introdujo la figura del DPD.

Todas las Administraciones Públicas deben disponer de DPD, y aquellas empresas privadas que cumplan ciertos requisitos establecidos en la norma, también deberán nombrarlo obligatoriamente. No obstante, siempre es recomendable su designación.

La figura del DPD, en resumen, debe disponer de:

• Grado de profesionalización: conocimientos especializados en derecho y en protección de datos, con una compresión estricta y profunda del RGPD.
• Ámbito de actuación: sus funciones son las de asesorar legalmente y corroborar el cumplimiento de las exigencias normativas, así como supervisar dicho cumplimiento con el objetivo de salvaguardar los derechos de las personas y evitar sanciones económicas para la empresa (el Considerando 97 del RGPD indica que el DPD ayudará y supervisará sobre el cumplimiento).
• Siempre que reúna y acredite los anteriores requisitos, el DPD puede ser:
• Un empleado interno de la empresa.
• Una persona o empresa externa mediante un contrato de prestación de servicios.

Además de todo lo anterior, el RGPD indica que el DPD no podrá recibir «ninguna instrucción en lo que respecta al desempeño de dichas funciones» y que, si desempeñase otras tareas diferentes a las propias de su cargo, no podrá dar lugar a «conflicto de intereses» (artículo 38 apartados 3 y 6). La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) también menciona la independencia del DPD y la ausencia del conflicto de intereses en su artículo 36.2 («Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses»). Pero ¿qué quiere decir la norma con independencia funcional y conflicto de intereses? ¿Cómo se vulnera la independencia del DPD? ¿Cuándo puede estar actuando el DPD en conflicto de intereses?.

Las Directrices sobre delegados de protección de datos, adoptadas por el Grupo de Trabajo del artículo 29 en 2017, indican que ambas cuestiones, independencia funcional y ausencia de conflicto de intereses, están estrechamente ligadas.

En primer lugar, el mencionado Considerando 97 del RGPD establece expresamente que los DPD «deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente». Además, dentro de su margen de actuación, el DPD no puede recibir instrucciones -por parte de los responsables o encargados del tratamiento- con respecto al ejercicio de sus funciones (art. 38.3 RGPD). Todo ello garantiza la independencia de su actuación como asesor, asegurando la defensa del cumplimiento normativo respecto de posibles injerencias y frente a intereses propios o de terceros que puedan poner en riesgo la garantía de los derechos de protección de datos.

El Informe 0037/2020 de la AEPD, publicado el 31 de enero de 2022, recuerda que «los obligados al cumplimiento del RGPD son el responsable o el encargado del tratamiento, de forma que, si adoptan decisiones contrarias a la norma y al asesoramiento prestado por el delegado, debe darse a este la posibilidad de expresar con claridad su opinión disconforme respecto de dichas decisiones». Tal y como resalta dicho Informe, la designación del DPD debe atender siempre al principio de independencia en el desempeño de sus actuaciones, ya que garantizando su margen de intervención no habrá lugar a conflicto de intereses.

Por otro lado, la norma permite al DPD desempeñar otros cargos dentro de la compañía, siempre y cuando éste no establezca los fines y medios del tratamiento. Es decir, el DPD puede desempeñar otras funciones adicionales a las típicas de su oficio, pero en ningún caso podrá decidir para qué van a tratarse los datos personales dentro de su organización ni cómo se efectuará dicho tratamiento. En reciente sentencia de 9 de febrero de 2023, el Tribunal Superior de Justicia de la Unión Europea, recuerda que la norma sí permite al DPD realizar otras funciones y cometidos distintos de los que le incumben en virtud del artículo 39 del RGPD, pero estos no pueden, en ningún caso, perjudicar el desempeño de las funciones que ejerce como DPD.

El pasado 20 de septiembre de 2022, la Autoridad de Control en materia de Protección de Datos de Berlín (Berliner Beauftragte für Datenschutz und Informationsfreiheit) anunció la sanción de 525.000€ a una empresa matriz que disponía de un DPD que, además, desempeñaba las labores de director general en otras empresas del grupo provocándose, en consecuencia, un conflicto de intereses sobre el conjunto de las funciones desempeñadas. Dos años más atrás, la Autoridad de Bélgica (Gegevensbeschermingsautoriteit) sancionaba con 50.000€ a una empresa que nombró un DPD que también realizaba funciones como Jefe de compliance, gestión de riesgos, así como director de auditoría. Dichas funciones se sobreponían con las propias del cargo de DPD y, en consecuencia, se entendió la existencia de conflicto de intereses.

Por tanto, los cargos que pueden dar lugar a conflicto de intereses dentro de una organización son los relacionados con la alta dirección (director general, director de operaciones, director financiero, jefe de recursos humanos, jefe de marketing o director de departamento de IT, entre otros). No obstante, también existen cargos inferiores dentro de la empresa que puedan determinar los fines y medios del tratamiento por lo que debe atenderse al caso concreto y examinar previamente la viabilidad del desempeño por el DPD de otras actividades adicionales.

En resumen, lo que la norma pretende es garantizar la autonomía de actuación del DPD, encaminándose en un cumplimiento estricto de las exigencias establecidas en el RGPD.

Por todo ello, antes de asignar nuevas funciones al DPD, es necesario consultar y evaluar si dichos cargos pueden suponer un conflicto de intereses, estableciendo documentos internos que permitan demostrar la independencia funcional del DPD con objeto de ser capaces de demostrar el cumplimiento de la normativa de protección de datos.

Pedro Fanjul González

Asesor Legal Especialista en Protección de Datos

Comse Cibersecurity