El papel del Delegado de Protección de Datos (DPD)

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Junto con la Evaluación de Impacto, el Delegado de Protección de Datos (DPD) es la segunda creación emblemática del RGPD. En Francia, sustituye lógicamente al Delegado de Protección de Datos (DPD), el Delegado de Protección de Datos (DPC). Cabe destacar, sin embargo, que la Unión Europea lleva tiempo recomendando el nombramiento de un DPD en las grandes estructuras administrativas y económicas, y que algunas han seguido esta recomendación.

El G29 analizó el papel del OPD y adoptó unas directrices, finalizadas el 5 de abril de 2017. Estos detalles nos ayudan a definir los límites y el contenido de este puesto clave.

La designación de un DPD es obligatoria para (art. 37-1):

– organismos públicos;

Organizaciones cuyas actividades principales requieren la monitorización regular y sistemática de personas a gran escala. El G29 distingue entre actividades de apoyo, como la nómina o la informática, y actividades esenciales, que se refieren a la actividad principal de la organización (por ejemplo, datos de salud para un hospital). Asimismo, adopta una perspectiva muy amplia del concepto de «monitorización regular y sistemática», que no se limita al entorno digital.

– organizaciones cuyas actividades principales las llevan a procesar datos “sensibles” o datos relacionados con condenas y delitos penales a gran escala (G29 proporciona elementos importantes para determinar qué se entiende por “gran escala”).

Un grupo de empresas o un conjunto de organismos públicos puede designar un único DPD (artículos 37-2 y 37-3). Por supuesto, el G29 recomienda encarecidamente el nombramiento de un DPD, como buena práctica también en este caso.

El delegado de protección de datos es nombrado por el responsable del tratamiento y, en su caso, por el encargado del tratamiento, en función de sus cualidades profesionales, «en particular, sus conocimientos especializados en la legislación y las prácticas de protección de datos, y su capacidad para desempeñar sus funciones» (art. 37-5). Cuanto más complejas sean las operaciones de tratamiento, mayores serán las competencias requeridas.

El DPD puede ser interno o externo a la organización y, en este último caso, desempeñar su misión mediante un contrato. Si el proveedor de servicios es un equipo, deben especificarse las tareas de cada miembro y designarse un líder de equipo. El GT29 recomienda que el DPD sea fácilmente localizable y, por lo tanto, que esté establecido en la Unión Europea. Sin embargo, especialmente cuando el responsable o el encargado del tratamiento tengan su sede fuera de la Unión Europea, es aceptable que el DPD esté establecido fuera de la UE si así puede actuar con mayor eficacia.

El DPD no solo desempeña un papel simbólico. Debe estar involucrado, tanto por el responsable del tratamiento como por el encargado del tratamiento, en todos los asuntos relacionados con la protección de datos personales (art. 38-1). Cualquier persona cuyos datos personales sean objeto de tratamiento puede contactarlo (art. 38-4). Cuenta con los recursos necesarios para el desempeño de sus funciones, tiene acceso a los datos y a las operaciones de tratamiento, e incluso debe ser capaz de mantener sus conocimientos especializados (art. 38-2). Por recursos necesarios, el G29 también se refiere al apoyo mediante supervisión, tiempo suficiente, condiciones materiales y formación. El DPD está, en cierto modo, consagrado.

Más aún, dado que su independencia está garantizada. De hecho, no puede recibir instrucciones sobre el ejercicio de sus funciones (art. 38-3). El responsable del tratamiento de datos y el subcontratista no tienen poder sobre él (sin embargo, sí tienen la facultad de nombrarlo), quien solo rinde cuentas al más alto nivel directivo. Además, está sujeto al secreto profesional y a la obligación de confidencialidad (art. 38-5).

A pesar de su estatus, el DPD no es responsable del incumplimiento del RGPD por parte de la organización que lo encargó. Solo el responsable del tratamiento y/o el encargado del tratamiento son responsables. La responsabilidad penal solo podría incurrir en caso de complicidad en una infracción dolosa.

El delegado de protección de datos puede desempeñar otras funciones y tareas, que no deben implicar conflictos de intereses (art. 38-6). Por lo tanto, le resulta imposible ejercer funciones que le permitan decidir sobre los fines y medios del tratamiento de datos personales. Por lo tanto, un DPO difícilmente puede ejercer funciones de gestión de la organización ni trabajar en el departamento responsable de la gestión de datos. En 2015, la CNIL realizó un estudio para determinar los perfiles de los delegados de protección de datos; se observó que no existía un perfil típico: 47 % tenían un perfil técnico, 19 % un perfil jurídico y 10 % un perfil administrativo. Es probable que, al menos inicialmente, esta ausencia de un perfil típico se encuentre entre los DPO.

El artículo 39 del RGPD enumera las funciones del delegado:

– informar y asesorar al responsable del tratamiento, al encargado del tratamiento y a los empleados que realizan el tratamiento sobre sus obligaciones relativas a las normas sobre el tratamiento de datos personales;

– supervisar el cumplimiento de la normativa, pero también concienciar y formar al personal implicado en las operaciones de tratamiento;

– Asesorar, si se solicita, sobre la evaluación de impacto. Las directrices del GT29 otorgan claramente al OPD un papel fundamental en esta evaluación. Se le debe consultar sobre la puntualidad, la metodología y el contenido, y posteriormente evaluar su calidad.

– cooperar con la autoridad de control y ser su punto de contacto. En el momento de redactar este documento, la CNIL está elaborando un formulario para la designación del DPD.

No está en el artículo, pero el G29 añade una misión adicional y opcional al DPD: «Nada impide que el responsable o el encargado del tratamiento encomienden al DPD la misión de llevar el registro de las operaciones de tratamiento realizadas bajo su responsabilidad». ¿Quizás se trate de una sugerencia para facilitar el flujo de información entre los diferentes actores?

Esto no sería inútil. Porque al final del análisis de esta función, nos decimos que no será fácil encontrar, ni siquiera en una gran empresa, una persona competente para desempeñar este importante rol y que esté exenta de cualquier responsabilidad en el tratamiento de datos para evitar conflictos de intereses. De hecho, no es fácil conocer las disposiciones de un reglamento, y especialmente sus consecuencias, cuando uno no tiene que aplicarlas en su propio contexto laboral.

En este punto, el planteamiento del problema para nombrar a su DPO es simple, aunque en realidad se trata de tres afirmaciones separadas:

Su nombramiento interno implica múltiples obstáculos que superar, como el aspecto social y la renegociación del contrato laboral. De hecho, en este caso, es casi seguro que el alcance de esta nueva misión se desconocía al firmarse el contrato. Si a esto le sumamos el concepto de riesgo y la subordinación directa y exclusiva a la gobernanza de la empresa, se trata de una modificación sustancial del contrato; por lo tanto, se trata de un nuevo contrato laboral. ¿Y quién lo evaluará y controlará internamente? ¿Y quién ejercerá su función, ya que ya no puede ser juez ni árbitro?

Contrátalo y la demanda se dispara. El perfil es tan solicitado por empresas grandes y medianas que hay una verdadera inflación debido a la escasez. Y el problema persiste: ¿quién lo evaluará y supervisará?

Por lo tanto, ¿por qué no delegar esta función de DPD en un profesional jurado, que podría desempeñar su función con una competencia e independencia difíciles de conciliar internamente? El reglamento no menciona esta posibilidad, y será necesario ver en la práctica si es concebible y está prevista (nada nos impide consultar a la CNIL sobre este tema). En cualquier caso, nos parece interesante, ya que garantiza una relación virtuosa entre el responsable del tratamiento y el delegado de protección de datos.

Y por último, podemos simplemente decidir no designar un DPO, porque simplemente no estamos estrictamente obligados a hacerlo.