El Delegado de Protección y de Datos y el Responsable de Seguridad de la información  ¿figuras compatibles?

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.

 Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:

• • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD. Y,  conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica  que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados.  En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc.  No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales  funciones.

El lugar del DPD dentro de la entidad responsable de datos.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento;  y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:

• Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
• Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
• Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
• También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.

El DPD en relación con las decisiones corporativas

Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

En muchas organizaciones ocurrirá que buena parte de las actividades  y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:

• • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
  • La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
  • Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

En todo caso, el hecho de que el  DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38, ;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y,  ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:

En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

• • Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones  adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”

En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la  organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.

En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS

Conclusión y recomendación:

Únicamente, y seguramente sólo en teoría,  cabría la posibilidad de centralizar ambas figuras  en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.

Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.