Dubtes al voltant de la figura del delegat de protecció de dades
S’ha publicat l’informe jurídic de l’Agència Espanyola de Protecció de Dades número de referència 0037/2022 en el qual es dona resposta a aspectes crucials de la figura del delegat de protecció de dades (en endavant, DPD), com són els criteris de formació tècnica i pràctica per a la correcta designació de DPD, o els dubtes sobre la validesa legal de designar persones vinculades amb la mateixa organització com a DPD o designar un DPD extern.
En efecte, la figura del DPD s’incorpora al nostre ordenament jurídic en virtut del que es disposa en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el referent al tractament de dades personals i a la lliure circulació d’aquestes dades pel que es deroga la Directiva 95/46/CE (RGPD), concretament en els articles 37 a 39, en els que es defineix aquesta figura, així com la seva posició i funcions. A més, en la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades i garantia de drets digitals (LOPDGDD) es desenvolupen alguns aspectes en els articles 34 a 37, dels quals es destaca la concreció de les entitats que en tot cas han de designar un DPD. També, quant al règim sancionador, ja que en l’article 73 es tipifica com a infracció greu “L’incompliment de l’obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament”, o “No possibilitar l’efectiva participació del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no recolzar-lo o interferir en el desenvolupament de les seves funcions”, així com una infracció lleu, segons l’article 74, en “No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible”.
Però malgrat haver-hi aquesta regulació i els diferents materials que les autoritats de control han anat publicant des de 2018, són nombrosos els interrogants enfront d’aquesta figura del DPD. Per això resulta molt interessant l’informe jurídic referenciat, del qual se’n destaca:
- Quant als criteris de designació,
- en primer lloc, es subratlla que el nomenament del DPD no ha d’interpretar-se com una mera formalitat, essent necessari realitzar una anàlisi aprofundida de les funcions i recursos dels quals haurà de disposar el DPD.
- En segon lloc, es confirma l’opció de designar com a DPD a una entitat externa quan en l’organització no es compti amb professionals amb la preparació necessària per a complir amb els seus deures. No obstant, es qüestiona la prestació de serveis com a DPD per part d’entitats que atenen a un nombre de clients excessiu, de manera que és molt probable que no puguin exercir llurs funcions amb la deguda solvència professional.
- En tercer lloc, en relació amb la formació, encara que la certificació no és obligatòria per a poder exercir com a DPD, i es pugui exercir la professió sense estar certificat sota l’esquema de l’Agència, és un punt de referència al mercat que pot servir com a garantia per acreditar la qualificació i capacitat professional dels candidats a DPD.
El nomenament del DPD és una decisió del responsable i aquest ha de verificar que es compleixi amb els requisits de capacitació, suficiència de mitjans, disponibilitat i independència que estableix el RGPD, i que es garanteixi que aquest DPD participa de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals, atenent els requisits de suficiència de mitjans. En conclusió, aquestes funcions podran desenvolupar-se eficaçment si es compleix amb els requisits de capacitació al procedir a la designació del DPD i se’l dota dels recursos necessaris, inclòs, com assenyala el Grup de l’Article 29 “un equip de DPD” (un DPD i el seu personal), equip que ha de ser proporcional al tamany i estructura de l’organització, així com a la sensibilitat, complexitat i quantitat de les dades que una organització tracta, havent de garantir la disponibilitat del DPD de manera que els interessats puguin contactar amb ell, així com comunicar-se amb les autoritats de protecció de dades.
- Quant a les incompatibilitats,
- S’insisteix per part de l’Agència en diferenciar clarament la designació i funcions del delegat de protecció de dades de les del responsable de seguretat de l’Esquema Nacional de Seguretat -ENS-, ja que les posicions d’un i altre responen a requisits exigits en normes diferenciades amb objectius i àmbits d’aplicació diversos i, el principi d’independència del DPD, hauria d’entendre’s de manera àmplia inclús amb relació a les figures que menciona l’article 10 de l’ENS. Segons l’autoritat de control, “Solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como delegado de protección de datos de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD”.
- Per altra banda, s’indica que, al marge de la fórmula adoptada per al seu nomenament, la designació del DPD ha de respondre a les exigències derivades del principi d’independència en el desenvolupament de la seva activitat, havent de garantir-se que el desenvolupament de llurs funcions i deures no donin lloc a conflicte d’interessos. En aquest sentit és important remarcar que el DPD no podrà ser remogut ni sancionat pel responsable o l’encarregat per exercir les funcions excepte que hi hagués dol o negligència greu en el seu exercici.
Serveis Jurídics
@ Faura-Casas
Serveis
Faura-Casas es Membre independent de BKR International, una associació global líder de comptabilitat independent i firmes de serveis a empreses, representant a més de 150 firmes amb més de 300 oficines en més de 70 països al voltant del món.
Contacte
Paseo de la Castellana, 123, 9º C. 28046 Madrid
