El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protecci贸n de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protecci贸n de datos (芦RGPD禄) relativos al nombramiento de un responsable de la protecci贸n de datos (芦DPD禄).
Tras la notificaci贸n de una violaci贸n de datos, la APD belga inici贸 una investigaci贸n sobre las pr谩cticas de protecci贸n de datos y el programa de privacidad de la empresa y su investigaci贸n se centr贸 en tres supuestas infracciones del RGPD,
- el deber de cooperar con la APD;
- las obligaciones de rendici贸n de cuentas (evaluaciones de riesgo y violaci贸n de datos); y
- los requisitos relacionados con el cargo de DPD de la sociedad.
En su decisi贸n, la Sala de lo Contencioso de la APD belga solo confirm贸 la聽 infracci贸n de los requisitos del DPD del RGPD (art铆culo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a a ese DPD, la sociedad hab铆a incumplido su obligaci贸n de garantizar que su DPD est茅 libre de cualquier conflicto de intereses.
En particular, la Sala de lo Contencioso de la APD belga indic贸 en su decisi贸n que:
- Si el DPO, como Jefe del departamento de Auditor铆a Interna, tiene poder de decisi贸n con respecto al despido de empleados, no es compatible con la funci贸n del DPO.
- El que los departamentos que dirige la persona que act煤a como DPO de la sociedad cumplan una funci贸n independiente y consultiva en relaci贸n con los dem谩s departamentos de la empresa y, como tales, no tengan poder de decisi贸n con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
- Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.
En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la funci贸n de jefe de departamento de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinaci贸n de funciones, existe una falta total de supervisi贸n independiente del DPO en relaci贸n con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a. Adem谩s, la APD belga indica que, debido a su doble funci贸n, el DPO puede no ser capaz de ofrecer suficientes garant铆as a los empleados afectados en t茅rminos de confidencialidad y secreto.
En vista de lo anterior, la Sala de lo Contencioso orden贸 modificar la situaci贸n e impuso una multa administrativa de 50.000 euros. (recurrible)
Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha