Análisis del informe jurídico 0038/2023 sobre la posición y funciones del DPO


Manuel Castilleja Toscano     02/06/2023

INFORME JURÍDICO 0038/2023 SOBRE LA POSICIÓN JURÍDICA Y FUNCIONES DEL DPO

Documento original analizado: https://www.aepd.es/es/documento/2023-0038.pdf

En el informe del Gabinete Jurídico de la AEPD se da respuesta a distintas consultas planteadas por una entidad en relación con la posición jurídica y funciones del delegado de protección de datos, abordando cuestiones que van más allá de las reguladas en el GDPR para el DPO.

1. RESPONSABILIDADES

El GDPR recoge la necesidad de establecer claramente el mapa de intervinientes en todo tratamiento de datos, al objeto de determinar con acierto la atribución de responsabilidades.

El Responsable del tratamiento (RT) o, en su caso, el Encargado del tratamiento (ET), son los obligados a garantizar y ser capaces de demostrar que el tratamiento se realiza conforme el GDPR (art. 5.2 y 24.1). Asimismo, es a ellos a quienes el GDPR impone obligaciones específicas, jurídicamente exigibles y cuyo incumplimiento genera la correspondiente responsabilidad, a diferencia del DPO quien no es personalmente responsable en caso de incumplimiento.

Las Directrices WP243 del GT29, señalan que el GDPR establece claramente que es el RT y no el DPO quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el GDPR (art. 24.1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del RT, no del DPO.

Por consiguiente, corresponde al RT o al ET adoptar las decisiones oportunas para garantizar el cumplimiento del GDPR, estableciendo, en virtud de su autonomía organizativa, la estructura que estime adecuada a estos efectos.

Asimismo, corresponde al RT velar por el cumplimiento de las disposiciones del GDPR relativas al nombramiento, posición jurídica y funciones que corresponden al DPO, quien deberá contar con la autonomía y los recursos suficientes para desarrollar su labor de forma efectiva.

Las funciones del DPO deben ajustarse a la naturaleza asesora y supervisora que le corresponde, conforme a las previsiones del artículo 39.1 del GDPR. Se trata de funciones dirigidas a garantizar el adecuado cumplimiento de la normativa sobre protección de datos personales.

El RT toma decisiones atendiendo, o no, al asesoramiento del DPO, pues es el RT finalmente quien determina los fines y medios y quien asumirá las posibles consecuencias que para, los derechos y libertades de las personas, pudieran tener los tratamientos que lleva a cabo.

Por lo tanto, corresponde únicamente y en última instancia, al RT decidir el modo en que van a ser tratados los datos. El DPO asesora, pero no decide sobre dicho modo en el que los datos van a ser tratados.

Además de las funciones de asesoramiento que el DPO tiene asignadas, el artículo 36 de la LOPDGDD prevé que el DPO podrá inspeccionar los procedimientos relacionados con el objeto de la LOPDGDD y emitir recomendaciones en el ámbito de sus competencias, y que cuando aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del RT o el ET.

En ambos casos, tanto en el ejercicio de sus funciones asesoras y supervisoras, si el RT o ET no atiende a los criterios del DPO recogidos en sus informes o en sus recomendaciones, las Directrices sobre delegados de protección de datos recomiendan, como buena práctica documentar los motivos por los que no se sigue el consejo del DPO.

Asimismo, en cuanto a las relaciones con la Autoridad de Control (AC), debe tenerse en cuenta que corresponde al DPO, conforme al artículo 39.1.d del GDPR, cooperar con la misma, siendo destacable a estos efectos la regulación que el artículo 37 de la LOPDGDD realiza de la intervención del DPO en caso de reclamación ante las AC:

  • El afectado podrá, con carácter previo a la presentación de una reclamación ante la AC, dirigirse al DPO de la entidad contra la que se reclame. En este caso, el DPO comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
  • Cuando el afectado presente una reclamación ante la AC, aquella podrá remitirla al DPO a fin de que este responda en el plazo de un mes. Si transcurrido dicho plazo el DPO no hubiera comunicado a la AC la respuesta dada a la reclamación, dicha AC continuará el procedimiento.

Si el RT tiene dudas sobre la base jurídica que pueda determinar la licitud de un tratamiento deberá consultar a su DPO en los supuestos en que su designación es obligatoria, quien deberá prestarle el asesoramiento preciso. Sólo en el caso de que el DPO tuviera dudas jurídicas sobre el asunto sometido a su consideración que no puedan resolverse con los criterios ya informados por la AEPD o por tratarse de cuestiones nuevas derivadas de la aplicación del nuevo régimen jurídico de protección de datos y que tengan un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica, podrá elevar la consulta al Gabinete Jurídico de la AEPD, acompañando su propio informe en el que se analicen detallada y motivadamente las cuestiones objeto de consulta.

En todo caso, el artículo 39.1 del GDPR debe considerarse, como recuerdan las Directrices sobre delegados de protección de datos, como una lista de tareas mínimas de que debe encargarse el DPO, pudiéndosele encomendar otras tareas, como la llevanza del registro de las actividades de tratamiento (RAT); dicho registro debe considerarse una de las herramientas que permiten al DPO realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al RT o al ET.

No obstante, la asignación de otras tareas deberá respetar el carácter asesor y supervisor del DPO, sin que puedan implicar la intervención directa en la toma de decisiones referidas a los fines y medios del tratamiento, que afectaría a su independencia e implicarían la existencia de un conflicto de intereses. De este modo, la necesaria independencia del DPO y la necesidad de evitar los conflictos de intereses impide asignarle responsabilidades directas en un ámbito que va a tener que supervisar y en el que estaría sujeto a instrucciones de otros órganos.

Precisamente, en relación con el posible conflicto de intereses, las Directrices sobre los delegados de protección de datos adoptadas por el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017, señalan que el DPO no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso.

Como norma general, los cargos en conflicto dentro de una organización pueden incluir los puestos de Alta Dirección (director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos, director del departamento de TI, etc.) pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento. Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPO que represente al RT o al ET ante los tribunales en casos relacionados con la protección de datos.

Dependiendo de las actividades, tamaño y estructura de la organización, puede ser una práctica recomendable que los RT y ET:

  • Determinen los puestos que podrían ser incompatibles con la función de DPO.
  • Elaboren normas internas a tal efecto con el fin de evitar conflictos de intereses.
  • Incluyan una explicación más general sobre los conflictos de intereses.
  • Declaren que su DPO no tiene ningún conflicto de intereses con respecto a sus funciones como DPO, como medio de concienciar sobre este requisito.
  • Incluyan salvaguardias en las normas internas de la organización y garanticen que el anuncio de convocatoria para el puesto de DPO o el contrato de servicios sea lo suficientemente preciso y detallado para evitar un conflicto de intereses. En este contexto, debe tenerse en cuenta también que los conflictos de intereses pueden adoptar diversas formas en función de si el DPO se contrata interna o externamente.

2. CAMBIO ORGANIZATIVO, RESPONSABLE DE PRIVACIDAD

La entidad consultante ha creado un nuevo puesto de Responsable de Privacidad y Protección de Datos (DSPO) integrado en su línea jerárquica que asume todas las funciones especializadas en materia de protección de datos que no son las propias del DPO que establecen el GDPR y la LOPDGDD. La entidad consultante propone una distribución de funciones entre el DPO y el Responsable de Privacidad y Protección de Datos mediante un sistema de doble lista.

De este modo, corresponderían al DPO las siguientes funciones:

  • Dar asesoramiento y apoyo a los distintos puestos de trabajo dentro de la organización que realicen funciones de coordinación o que tengan responsabilidad funcional en materia de protección de datos y privacidad.
  • Elaborar, mantener actualizada y controlar las evidencias de cumplimiento de protección de datos.
  • Canalizar y detectar normas y estándares, realizar el mapa de cumplimiento en privacidad y la gestión de jurisdicciones implicadas.
  • Asesorar en los procesos de revisión y supervisión y acreditación / certificación.
  • Asesorar en los procesos de Evaluaciones de Impacto.
  • Asesorar sobre qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos.
  • Asesoramiento y seguimiento incidentes de protección de datos.
  • Gestión de reclamaciones, quejas y consultas, colaborando con los departamentos internos.
  • Colaboración en la preparación documental para Comité de Dirección.
  • Asesorar sobre qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa.
  • Colaborar, con voz, pero sin voto, en las reuniones de Comités, Comisiones, Grupos de Trabajo.

En cuanto al Responsable de privacidad y protección de datos, se le atribuyen las siguientes funciones:

  • Realizar un monitoreo con la recogida y canalización de los indicadores clave (KPI´s)
  • Realizar los procesos de Gestión de Riesgos en Privacidad y colaborar con los procesos de otros sistemas.
  • Realizar los procesos de Evaluaciones de Impacto.
  • Preparación y seguimiento de la formación y concienciación en materia de privacidad.
  • Gestión y seguimiento incidentes de protección de datos.
  • Gestión de terceros, coordinación y seguimiento de los términos y obligaciones relacionados con privacidad.
  • Preparación documental para Comités, colaborar en las reuniones de Comités, Comisiones, Grupos de Trabajo.
  • Gestión de las auditorías internas o externas que la Dirección decida poner en marcha.

Corresponde a la entidad consultante, establecer la organización que estime más adecuada, en virtud de su autonomía organizativa, para el mejor cumplimiento de sus obligaciones, respetando las funciones asesoras y supervisoras propias del DPO.

La AEPD considera que es conforme a legislación en materia de protección de datos el cambio de organización propuesto, y la distribución de funciones propuesta mediante la doble lista de competencias, garantizando que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos.

Se trata de un cambio sobre la propia organización para el adecuado cumplimiento de la normativa sobre protección de datos personales en el ámbito de la entidad consultante, por lo que debe garantizarse la participación en la misma del DPO, debiendo solicitarse su informe. Pero dicho informe no es vinculante, por lo que el RT o ET pueden apartarse del mismo, siempre que respete las obligaciones que le impone el GDPR respecto del nombramiento, posición y tareas del DPO, siendo conveniente que documente adecuadamente los motivos por los que se aparta del criterio del DPO en aquellos aspectos informados desfavorablemente por el mismo.

3. POSICIONAMIENTO DEL DPO EN LA ESTRUCTURA DE LA ORGANIZACIÓN

Se trata, de nuevo, de una cuestión organizativa que puede adoptarse libremente por el RT o ET, con el único límite de respetar la independencia funcional del DPO, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del RT o ET.

No obstante, la necesidad de rendir cuentas directamente al más alto nivel jerárquico, así como ese apoyo que debe prestar la Alta Dirección, no implica necesariamente que el DPO deba depender directamente del máximo órgano de dirección o administración, sino que podrá depender de otros órganos siempre que tenga el nivel adecuado dentro de la estructura del RT o ET para permitirle el adecuado ejercicio de sus funciones y se garantice su independencia funcional y la ausencia de conflictos de interés.

Se estima, conforme al GDPR, que el DPO dependa de un puesto de la Alta Dirección de la entidad consultante, que dependen directamente del Presidente y cuyos titulares son nombrados y cesados por el Consejo de Administración y, en particular, de la Secretaría del Consejo, que no tiene asignadas funciones ejecutivas. Todo ello sin perjuicio de que deba garantizarse la rendición de cuentas directamente al más alto nivel jerárquico, bien en casos concretos que por su importancia así lo requieran, bien mediante la elaboración de un informe anual de las actividades del DPO, tal y como recoge las Directrices sobre delegados de protección de datos.

Por otro lado, la necesidad de garantizar la independencia funcional del DPO y la protección que al mismo se le dispensa no afecta otras cuestiones derivadas de la relación laboral que el DPO puede tener con el RT o ET, ya que dicha independencia únicamente alcanza al desempeño de sus funciones como DPO, el empresario conserva los poderes que le otorga la normativa laboral para el adecuado cumplimiento y control del contrato de trabajo, que solo se ven modulados en la medida necesaria para garantizar la independencia funcional del DPO, pudiendo ejercerlos dentro del respeto a dicha independencia y de forma que la misma no se vea perjudicada y teniendo en cuenta que, conforme al artículo 36.2 de la LOPDGDD el DPO no podrá ser removido ni sancionado por el RT o el ET por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.

Por tanto, en la medida en que no se afecte directamente al desarrollo de las funciones que corresponden en virtud de la normativa sobre protección de datos personales al DPO, el RT podrá, tal y como se indica en la consulta, ejercer las siguientes funciones:

  • Autorización de vacaciones y control del cumplimiento de la jornada laboral.
  • Aprobación de planes de formación y de carrera y control de su cumplimiento.
  • Aplicación de las reglas de promoción o retribución que corresponden a puestos de igual nivel o categoría que el asignado al DPO.
  • Asignación de despacho o lugar en las oficinas de la empresa.
  • Selección de herramientas informáticas corporativas, como la herramienta corporativa para el seguimiento de riesgos o los sistemas de archivo de documentación.
  • Asignación de medios materiales para el desempeño de su función, como la decisión de cuánto sustituir el ordenador o el teléfono de empresa.

Si al DPO se le han asignado otras funciones y cometidos conforme al artículo 38.6 del GDPR, en el ejercicio de estas funciones y cometidos quedará plenamente sujeto al poder de dirección y control del empresario, al no quedar afectadas las mismas por su independencia funcional.

No obstante, la asignación de otras funciones y cometidos no pueden dar lugar a conflicto de interés, por lo que no se podrá tratar de funciones de protección del RT o ET que impliquen la participación en la determinación de los fines y medios del tratamiento.

4. INFORMACIÓN POR PARTE DEL DPO A LA ORGANIZACIÓN DEL EJERCICIO DE SUS FUNCIONES

El DPO debe informar a su organización de las actuaciones realizadas en el ejercicio sus funciones en cuestiones tales como:

  • La decisión de elevar consulta a la AEPD.
  • El contenido de esas consultas y de la respuesta de la AEPD.
  • Cuando solicita el asesoramiento de consultores externos que el RT ha contratado para permitir al DPO el adecuado desarrollo de sus funciones y del contenido de dicho asesoramiento.
  • Las consultas recibidas por el DPO y de su respuesta.
  • Los criterios que aplica en sus funciones de asesoramiento y control, tales como los criterios para valorar la evaluación y seguimiento de riesgos o los análisis de impacto.
  • La documentación que guarda para acreditar el cumplimiento de la normativa en materia de privacidad y protección de datos.

El DPO debe facilitar a los RT y ET toda la información derivada del ejercicio de sus funciones que los mismos precisen para el cumplimiento de sus obligaciones, debiendo recordar que el criterio del DPO no es vinculante, si bien el RT o el ET deberán documentar los motivos por los que no siguen el consejo del DPO, lo que requiere, inexorablemente, conocer la actuación desarrollada por el DPO.

El RT o ET pueden solicitarle toda la información que estime oportuna relacionada con el ejercicio de sus funciones asesoras y supervisoras, siendo los destinatarios naturales de dicha información. Como recuerdan las Directrices sobre los delegados de protección de datos, dicha notificación directa garantiza que la Alta Dirección (p. ej. el Consejo de Administración) está informada del consejo y recomendaciones del DPO, como parte de la misión del DPO de informar y asesorar al RT o al ET. Otro ejemplo de notificación directa es la elaboración de un informe anual de las actividades del DPO que se presentará al más alto nivel directivo.

5. CONSULTA A LA AEPD POR PARTE DEL DPO A INSTANCIAS DE SU ORGANIZACIÓN

Si bien el RT o ET no pueden instruir al DPO sobre la necesidad de consultar a la AC, y la Instrucción 1/2021 contempla como regla general que las consultas se formalicen por el DPO. El Gabinete Jurídico de la AEPD considera que, en el caso excepcional en el que ante una cuestión relevante en materia de protección de datos personales que tenga alcance general y no exista un criterio previo de la AEPD y en la cual el RT o ET discrepe del criterio de su DPO y tengan razones fundadas para considerar que el mismo no se ajusta a la normativa sobre protección de datos personales, podría formularse la consulta a esta AEPD directamente por el propio RT o ET.