El Delegado de Protección de Datos es la clave para articular esa responsabilidad proactiva buscada en el RGPD

El Delegado de Protección de Datos es la clave para articular esa responsabilidad proactiva buscada en el RGPD. El aspecto angular de sus funciones es la total garantía sobre su independencia, informando directamente al máximo nivel directivo de la organización o estructura productiva.

Con frecuencia se ha argumentado que el RGPD es un esquema proactivo de responsabilidad.  La normativa europea de protección de datos lleva ya dos años en pleno vigor, trayendo una serie de cambios importantes en las Administraciones, empresas y organizaciones. Entre ellos, la llegada de un cuadro profesional sobre el que se centran parte de las nuevas obligaciones: el Delegado de Protección de Datos, DPD.

La génesis de esta figura tiene, al menos, dos antecedentes importantes: 1977, con la Ley Federal de Protección de Datos vigente en Alemania.  Y 1995, con la Directiva 95/46/CE, donde el Parlamento Europeo y el Consejo entraban en un sistema que vigilara el tratamiento y circulación de datos personales. 

El Delegado de Protección de Datos es un eje fundamental para la aplicación de la normativa, en efecto, viene a ilustrar si la estructura tiene interiorizados una serie de valores que relacionen comportamiento empresarial, en referencia a los derechos de las personas sobre su información. Como sabemos, hay situaciones donde su designación es voluntaria y otras donde pasa a ser obligatoria.

Podría decirse que lo más importante del DPD es un estatus legal basado en su independencia. De hecho, existen ya expedientes sancionadores en varios de los Estados miembros de la Unión por esa causa.  En algunos de esos casos, la infracción consistió en designar como Delegado de Protección de Datos a profesionales que simultáneamente ocupaban otros cargos neurálgicos de la compañía, además, relacionados con el tratamiento de la información. En sentido de lo anterior, el DPD no es la misma figura profesional que lleva a cabo tareas de tratamiento de los datos.

La cuestión de la independencia era ya una preocupación en las iniciativas europeas del año 95, donde se remarcaba este aspecto de las personas responsables de hacer aplicar la norma existente entonces.  Por supuesto, el cargo de DPD puede recaer tanto en un miembro de la estructura como en un profesional ejerciendo consultoría externa. Tal vez cabría recordar que la oficina del Supervisor Europeo de Protección de Datos lleva publicando materiales sobre el DPD desde el año 2001, muy enfocados a las Administraciones.

El Supervisor Europeo de Protección de Datos es un ente independiente cuya función principal es trabajar porque las instituciones pertenecientes a la Unión Europea observen un respeto por los marcos jurídicos de protección de datos personales durante el desarrollo de sus funciones.

DELEGADO DE PROTECCIÓN DE DATOS: INTERESES

Claro, en el DPD estamos refiriéndonos a una actividad que, inevitablemente, puede ser blanco de diversos intereses, según el renglón de la producción donde nos encontremos. Garantizar la independencia no siempre es fácil.  Por otra parte, como explica el artículo 38.6 del Reglamento General de Protección de datos, el DPD tiene supeditadas otras actividades profesionales a que éstas no interfieran en sus funciones.  Recordemos que también existen ciertas incompatibilidades, recogidas en el RGPD, por ejemploejemplo, entre el DPD y quien debe dirigir la gestión de los datos: el responsable del tratamiento.

La autoridad competente, la Agencia Española de Protección de Datos, hace mucho hincapié en la cuestión de la independencia, por ejemplo, explicando que el DPD y toda la estructura productiva u organizacional deben tener clara su posición en el organigrama. Tal vez lo más importante es que el Delegado de Protección de Datos no puede, de ninguna forma, estar incluido en un esquema de dirección donde sus funciones queden bajo el control de mandos intermedios, supervisores, etc., por ejemplo, su trabajo no debe ser, simplemente, parte del Área Jurídica o Legal. De la misma forma, sus funciones no están sujetas a las habituales auditorías. Todo lo anterior se debe a la clara posibilidad de verse comprometida la independencia. 

Para el Reglamento General de Protección de Datos, el Delegado de Protección de Datos únicamente emite reportes, asesora o informa  al máximo nivel directivo de la estructura, no a responsables en materia de tratamiento o gestión.

Pero, incluso en esa coyuntura (la información al mayor nivel jerárquico), la filosofía de la normativa busca establecer que el DPD no está en un lugar que pueda llegar a poner en duda su independencia en todo lo que respecta a la protección de los datos; la relación, además, es similar en organizaciones privadas o en entes públicos.

¿Quién es el responsable de garantizar la independencia?

Naturalmente, el nivel de dirección que adjudica la responsabilidad del cargo, sea éste interno o externo, debe asegurar todas las condiciones para que la independencia sea efectiva. Por una parte, es necesario el estudio de los posibles conflictos de interés. Básicamente, en la designación y trabajo del DPD tienen mucha importancia las formalidades: el nombramiento  por escrito, la calidad de los informes, etc. Incluyendo una evaluación sobre posibles conflictos de interés que no deje dudas sobre el lugar del Delegado en la estructura u organigrama.

En el Delegado de Protección de Datos, el RGPD ha pretendido una enorme objetivación del principio de responsabilidad activa, algo que no habría resultado posible sin la profesionalización de la “Privacidad” y su protección. De ahí la existencia, por ejemplo, del Esquema de Certificación de la AEPD y de otros mecanismos de certificación para los DPD como la certificación de APEP o la de ISMS FORUM.

Reserve ahora su plaza para la Convocatoria 2021 del Programa Modular (Experto, Especialista y Máster) en el Reglamento General de Protección de Datos – UNED - AEPD

Compartir:

Email de información: jglez@cee.uned.es - rhc@agpd.es

Ir arriba