Funciones y posición del Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Funciones del delegado de protección de datos (DPO)

Las funciones del Delegado de Protección de Datos, que serán de información, asesoramiento y supervisión, podemos encontrarlas especificadas en el artículo 39 del RGPD y 34 y siguientes de la Ley Orgánica 3/2018, así como en el documento Directrices los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo, tendrá un delegado de protección de datos. Estas son las siguientes:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

• Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD.

• Cooperar con la autoridad de control.

• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros y desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Además, el artículo 37 de la LOPDGDD establece que el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

Posición del delegado dentro de la entidad.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del delegado de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el encargado del tratamiento, quienes deberán de facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. En especial deberán tenerse en cuenta los siguientes aspectos:

- Apoyo activo a la labor del DPD por parte de la alta dirección.

- Tiempo suficiente para que el DPD cumpla con sus funciones.

- Apoyo en cuanto a recursos financieros, infraestructura, recursos y personal necesarios de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.

- Comunicación oficial de la designación a todo el personal para garantizar que si existencia y función se conozcan en la organización.

- Formación continua.

- En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un grupo de personas que trabaje para dicha entidad podrá ejercer las funciones como equipo, bajo la responsabilidad de un contacto principal designado para el cliente.

Todo ello se traduce en el índice de dificultad del tratamiento de datos dentro de la empresa, pues conforme vaya incrementando la complejidad de éste, serán sumamente necesarios un mayor número de recursos. En definitiva, el ejercicio de protección de datos ha de llevarse de manera eficaz, por lo que necesitará de los recursos suficientes para el tratamiento que se esté llevando a cabo.

Es destacable que el Delegado de Protección de Datos, o su equipo, sean partícipes desde el principio en todas las cuestiones relativas a la protección de datos. Respecto a la evaluación de impacto, el RGPD menciona que el responsable del tratamiento tendrá que recabar el asesoramiento del Delegado de Protección de Datos al realizar la mencionada evaluación de impacto. Se entiende que la comunicación, la información y y consulta al DPD desde la etapa más temprana resulta vital para el buen cumplimiento del RGPD, lo que producirá un entorno de privacidad desde los cimientos. Como ya hemos mencionado anteriormente, el DPD deberá actuar como interlocutor dentro de la empresa y formará parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización.

En este mismo sentido, tanto el responsable como el encargado del tratamiento, deberán garantizar que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos. Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización. Por ello, tal y como indica el GT29, la organización deberá garantizar, por ejemplo, que:

- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.

- Se recomienda que esté presente cuando se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.

- La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.

El hecho de que el delegado de protección de datos pueda formar parte de la entidad no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, lo delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

En este sentido, el apartado 3º del artículo 38, ;RGPD, es claro al señalar que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. No obstante, esto no significa que pueda adoptar decisiones más allá de sus funciones.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses y estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones. Esto quiere decir que el DPD ha de realizar sus funciones de manera independiente y como sujeto independiente, por lo que no se debe de instriur al mismo sobre como abordar un asunto. Tampoco se podrá adoctrinar al DPD para que mantenga una u otra postura respecto a la normativa de protección de datos. Esta autonomía del DPD se limita en sus propias funciones, descritas en el artículo 39 del RGPD.

Igualmente, el artículo 36 de la LOPDGDD, estipula que el DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Igualmente no podrá ser removido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave en su ejercicio.

En el ejercicio de sus funciones el DPD tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

Finalmente, el apartado 4 del artículo 36 de la LOPDGDD indica que, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento