Funciones y posición del Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Partiendo de lo dispuesto en el artículo 47.1 del RGPD, «la autoridad de control tiene potestad para aprobar las normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63 (...)». Estas normas, conforme al art. 47.2 del RGPD deberán especificar, en su caso, «las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37».

Así, el artículo 39 del RGPD relaciona las siguientes funciones como propias del DPD, todas ellas de suma relevancia para la garantía de los derechos y libertades del interesado:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. El DPD debe realizar cuantas formaciones sean necesarias al personal y a la dirección de la entidad responsable. 

• Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes. Para el cumplimiento de estas obligaciones, el Grupo de Trabajo sobre protección de datos del artículo 29 (Directrices sobre los DPD) considera que el DPD puede: recabar información para determinar las actividades de tratamiento, analizar y comprobar la conformidad con la normativa de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.  Dada la experiencia y conocimiento que este profesional debe ostentar, sabrá en qué momento es necesario efectuar una auditoría o una revisión sobre un aspecto concreto de la estructura de tratamientos de la entidad responsable, así como el área en la que debe focalizar sus esfuerzos a la hora de detectar cualquier tipo de riesgo que pueda derivar en una infracción de la normativa.

• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.  Al respecto, el Grupo de Trabajo sobre el artículo 29 recomienda que el responsable del tratamiento busque asesoramiento en ciertas cuestiones como: si esa evaluación de impacto de protección de datos (EIPD) debe llevarse a cabo o no, la metodología para ello, si la EIPD debe realizarse en la propia organización o subcontratarse, las salvaguardias necesarias para mitigar cualquier riesgo para los derechos de los interesados, o si las conclusiones del EIPD son conforme al RGPD. 

• Cooperar con la autoridad de control. Esto puede hacerse extensible a los procedimientos de supervisión por parte de la AEPD, es decir, a las inspecciones. Es necesario que el DPD esté presente ante este tipo de procedimientos a nivel presencial, además de que es absolutamente necesario contar con su asesoramiento jurídico en el caso de que se incurra en una investigación de este tipo.

• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD (en el caso de que el nivel de riesgo residual de la EIPD no sea aceptable), y realizar consultas, en su caso, sobre cualquier otro asunto.

En todo caso, estas dos últimas funciones no chocarían con el deber de secreto profesional o confidencialidad. 

El artículo 39, apartado 2, del RGPD cierra disponiendo que «el delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento». El Grupo de Trabajo del artículo 29 lo denomina enfoque basado en el riesgo. Lo que viene a recodar el RGPD con esta cláusula es que los DPD deben establecer prioridades respecto a sus actividades y centrar su esfuerzo en aquellas cuestiones que presenten mayores riesgos para la protección de datos. Se trata de un enfoque selectivo y pragmático con el objetivo de ayudar al responsable del tratamiento de datos en ciertas funciones. 

• Intervención en caso de reclamación ante las autoridades de control (AEPD y autoridades autonómicas). Esta función viene dada por el artículo 37 de la LOPDGDD y debe saberse que procederá cuando el responsable o encargado del tratamiento haya designado un DPD. Pueden darse dos escenarios:
  • El afectado se dirige al DPD antes de presentar reclamación ante el órgano competente. El DPD comunicará al afectado la decisión adoptada en plazo máximo de dos meses desde recibir la reclamación.
  • El afectado presenta la reclamación, directamente, ante la AEPD o autoridad autonómica competente de protección de datos. Estas pueden remitir la reclamación al DPD para que responda en plazo de un mes. Transcurrido dicho plazo sin contestación, se continuará el procedimiento por posible vulneración de la normativa de protección de datos con arreglo a lo establecido en el título VIII de la LOPDGDD.

Asimismo, a mayor abundamiento respecto a las funciones del DPD, otra de ellas es la emisión de informe previo en los casos de investigación en salud pública. En este punto, cabe citar la D.A. 17.ª de la LOPDGDD que respecto al uso de datos personales seudominizados con fines de investigación de esa naturaleza, estos deben ser sometidos a informe previo del comité de ética y, de no existir tal comité, la entidad responsable de la investigación debe requerir informe previo al DPD.

CUESTIÓN

¿Es el DPD el que debe llevar a cabo el análisis de riesgos de la entidad responsable?

Normativamente, la función del DPD es la de asesorar y comprobar que el análisis de riesgos se realiza de modo adecuado. Por esta razón, es posible afirmar que es la entidad responsable de tratamiento la que debe cumplir sus obligaciones.

Sin embargo, esta entidad podrá encomendar, al DPD designado, la tarea de llevar y gestionar los análisis de riesgos y sus revisiones o actualizaciones, pues mientras respete su independencia y autonomía, nada impide que el responsable le asigne funciones compatibles con las normativamente aplicables.

Además, el artículo 38 del RGPD recoge la obligación de los responsables y encargados del tratamiento de datos de garantizar que el delgado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Como dirige el Grupo de Trabajo sobre protección de datos del artículo 29, respecto a lo dispuesto en el citado precepto del reglamento, la organización, en definitiva, debe garantizar:

• Que se invite al DPD a participar en reuniones con los cuadros directivos altos y medios. 
• Que el DPD esté presente en las decisiones que impliquen materia de protección de datos para un asesoramiento adecuado.
• Tener en cuenta la opinión del DPD e intentar documentar si hubiera descuerdo con su recomendación.
• Consultar el DPD todo lo inmediatamente posible que se pueda en caso de que se produzca una vulneración de datos o incidente similar.

Asimismo, se establecen otra serie de garantías de los responsables y encargados del tratamiento, conforme a lo recogido en el artículo 38 del RGPD:

• Respaldar al DPD en el desempeño de sus funciones y facilitarle los recursos necesarios para su desempeño y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

Como razona el Grupo de Trabajo sobre el artículo 29, la facilitación de los recursos que ordena el RGPD viene a referirse a: prestar apoyo activo a la labor del DPD por parte de la alta dirección, darle tiempo suficiente para que cumpla sus funciones, prestarle un apoyo adecuado en cuanto a recursos financieros, infraestructuras y personal, comunicar oficialmente la designación del DPD a la plantilla para garantizar su existencia y función dentro de la organización, que pueda acceder a otros servicios como pueden ser RRHH, TIC, seguridad, departamento jurídico o garantizar que el DPD esté siempre al día y en formación continua, o establecer equipos si fuera necesario ante el tamaño de la empresa. 

• Garantizar que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
• El DPD no puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. Rinde cuentas ante el más alto nivel jerárquico del responsable o encargado.
• El DPD puede estar en contacto con los interesados si estos lo instan, respecto al tratamiento de sus datos personales y ejercicio de sus derechos.
• El DPD está obligado a mantener el deber de secreto o la confidencialidad.
• El DPD puede desempeñar otras funciones y cometidos, siendo el responsable o encargado del tratamiento el que garantice que dichas funciones y cometidos no den lugar a conflicto de intereses. Hay que recordar que la figura del DPD debe actuar con independencia en sus funciones.

A mayor abundamiento, el artículo 36 de la LOPDGDD dispone respecto al DPD que:

• Actúa como interlocutor del responsable o encargado del tratamiento ante la AEPD y autoridades de protección de datos. 
• Inspecciona los procedimientos relacionados la protección de datos y emite recomendaciones en el ámbito de sus competencias.
• Si el DPD es una persona física integrada en la organización del responsable o encargado del tratamiento, no puede ser removido ni sancionado, salvo dolo o negligencia grave en su ejercicio. 
• Debe ser independiente dentro de la organización.
• Tiene acceso a los datos personales y procesos de tratamiento, sin que quepan salvedades de confidencialidad o secreto profesional por el responsable o encargado. 
• Debe documentar la existencia de una posible vulneración de datos y comunicarlo a los órganos de administración y dirección del responsable o al encargado del tratamiento.