¿ME HABLAS MÁS DEL DPD, MAMÁ?

Eduard Chaveli                                                               DPD_2.1

@eduardchaveli

IT Lawyer. GOVERTIS             

 

LA DIFERENTES POSIBILIDADES DE CONFIGURACIÓN DEL DPD Y SU POSICIÓN

En el anterior artículo de esta serie hablamos de los antecedentes del DPD (DPO) y de los supuestos de designación obligatoria (http://www.govertis.com/antecedentes-del-dpd-dpo). En este abordaremos:

a) Por un lado las posibilidades de su configuración: DPD INTERNO/EXTERNO así como INDIVIDUAL Y COLETIVO.

b) Por otro lado su posición o régimen. Lo que nos llevará a analizar aspectos como su independencia, compatibilidad con otras funciones, posibles sanciones, etc.

En siguientes capítulos hablaremos de sus funciones y obligaciones y de su capacitación.

1. POSIBILIDADES DE CONFIGURACIÓN

 Las posibilidades de configuración del DPD pueden ser diversas:

1.1. DPD INTERNO O DPD EXTERNO

 El artículo 37.6 RGPD dispone:

“Podrá ser empleado por el responsable o el encargado del tratamiento o desempeñar sus tareas sobre la base de un contrato de servicios”.

La opción elegida (interno o externo) dependerá de las características (tamaño, tratamientos etc.) propias de cada organización.

Por tanto, es posible que pueden existir empresas o consultoras que ofrezcan DPD para diversos responsables o encargados en el marco de un contrato de prestación de servicios.

Si hablamos del DPD con una relación laboral, nuestra legislación en ese campo no ha previsto nada y, por tanto, en la actualidad, la contratación laboral del DPD se regirá por las previsiones normativas establecidas en Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante, ET), por la normativa de protección de datos personales, así como por los códigos éticos para DPD que se aprueben por la AEPD (ya existe uno aprobado en el marco del esquema de certificación del DPD).

Como dice Helena Monzón[1]“mientras no se regule un régimen laboral especial para los DPDs, conviene considerar que ostentan, cuanto menos, un “cargo de confianza”22. Ello supondría que el deber de “buena fe” previsto en el artículo 5 a) del Estatuto de los Trabajadores, se encontraría sujeto a unos estándares más estrictos que los que resultan de aplicación al común de los trabajadores.

Así, el abuso de confianza en el ejercicio del cargo de DPD supondría una modalidad especial de violación del deber de buena fe cuando los DPDs cometan irregularidades prevaliéndose de su cargo. Al respecto debe tenerse en consideración que la clasificación de “cargo de confianza” no requiere que el sujeto activo de la infracción tenga una relación especial de alta dirección, puesto que lo relevante es el contenido de las funciones del puesto de trabajo y no la naturaleza de la relación”.

Por lo que respecta al DPD externo, como ha dicho la AEPD, “el RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD. Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas”.

1.2. DPD UNIPERSONAL O COLECTIVO

El RGPD no dispone nada al respecto pero es posible que la forma de configuración del DPD sea diversa en función de las necesidades de la organización.

DPD_2.4

La organización debe de decidir qué tipo de órgano se adapta mejor a sus necesidades: si una única persona o un órgano colectivo; y ambas opciones tienen ventajas e inconvenientes:

A. VENTAJAS ÓRGANO UNIPERSONAL

  • Hace más sencilla y ágil la toma de decisiones.
  • Personaliza mejor, en una determinada figura, la autoridad de la función.

B. VENTAJAS ÓRGANO COLECTIVO

  • Puede integrarse por especialistas de distintas áreas de la gestión (jurídica, auditoría, financiera, recursos humanos), abarcando un mayor y mejor conocimiento del negocio y de la empresa.

En los supuestos de que se trate de un órgano colectivo ha dicho el WP29DPD que en “aras a la claridad jurídica y la buena organización es aconsejable tener una asignación clara de tareas dentro del equipo del DPO y asignar a una sola persona como una persona ‘a cargo’ y principal contacto para cada cliente. Generalmente también sería útil especificar estos puntos en el contrato de servicio.”

2. POSICIÓN DEL DPD

 Vamos a seguir en este punto los diferentes aspectos que aborda el WP29DPD: 

2.1. PARTICIPACIÓN DEL DPD EN TODAS LAS CUESTIONES RELATIVAS A LA PROTECCIÓN DE DATOS PERSONALES

El artículo 38 del RGPD indica que “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales”.

El WP29DPD ha entendido que esto supone que “es crucial que el DPO está implicado desde la etapa más temprana posible en todas las cuestiones relativas a la protección de datos” citando como ejemplo concreto su intervención inicial en las evaluaciones de impacto[2] que es una tarea en la que debe de intervenir el mismo, para garantizar una privacidad por diseño, siendo visto como un interlocutor dentro de la organización y es parte de los grupos de trabajo pertinentes con las actividades de tratamiento de datos.

Algunos ejemplos que cita el WP29DPD son los siguientes:

  • El DPD debe de ser invitado a participar regularmente en las reuniones.
  • Su presencia se recomienda en la toma de decisiones con implicaciones de protección de datos. Para ello toda la información debe transmitirse al DPD en tiempo y forma para permitirle brindar asesoramiento adecuado.
  • Debe de darse siempre a la opinión del DPD la debida importancia. En caso de desacuerdo el WP29DPD recomienda, como buena práctica, documentar las razones de no seguir el consejo del DPD.
  • Al DPD deberá consultarse con prontitud, una vez que se ha producido una violación de datos u otro incidente en materia de tratamiento de datos de carácter personal.

Y, por todo ello, sería aconsejable que el Responsable de Tratamiento o Encargado desarrolle directrices o programas sobre cuándo debe consultarse al DPD.

2.2. RECURSOS

 El artículo 38.2. del RGPD dispone lo siguiente:

“2.El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados”.

 El WP29DPD pone los siguientes ejemplos:

  • Apoyo activo al DPD por parte de los roles directivos.
  • Asignación de suficiente tiempo al DPD para cumplir con sus obligaciones, lo que es particularmente importante cuando el DPD sea nombrado a tiempo parcial o cuando el empleado desarrolle otras tareas.

Para ello, sugiere el WP29DPD como buenas prácticas:

  • Establecer un porcentaje de tiempo de la función de DPO cuando no se realiza a tiempo completo.
  • Priorizar adecuadamente sus tareas elaborando un plan de trabajo adecuado.
  • Que disponga de la ayuda adecuada en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, en su caso.
  • Realizar un comunicado oficial del nombramiento del DPO a todo el personal para asegurar que se conoce su existencia y su función dentro de la organización.
  • Que disponga de acceso a otros servicios, tales como recursos humanos, legal, seguridad, etc. pues puede recibir información esencial a través de los mismos.
  • Que reciba formación continúa pues el DPD debe de mantenerse al día respecto a avances en protección de datos y aumentar constantemente sus conocimientos.
  • En función del tamaño y la estructura de la organización, puede ser necesario establecer un equipo de trabajo; es decir: un DPD acompañado de un equipo.

Esto mismo ha dicho la AEPD en “órganos, organismos o entes de gran tamaño en que exista un único DPD lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el DPD formalmente nombrado esté respaldado por una unidad específicamente dedicada a la protección de datos”.

Y continúa diciendo el WP29DPD “En tales casos, la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros deben ser claramente definidas. Del mismo modo, cuando la función del DPO es ejercida por un proveedor de servicios externos, un equipo de personas trabajando para esa entidad puede efectivamente realizar las tareas de un DPO como un equipo, bajo la responsabilidad de un contacto principal designado por el cliente”.

En general, cuanto más complejas y sensibles sean las operaciones de transformación, más recursos se deben dar al DPD.

2.3. INDEPENDENCIA E INSTRUCCIONES. NOMBRAMIENTO, CESE Y REMOCIÓN

Abordamos de forma conjunta ambos aspectos porque se establecen ciertas previsiones para que no se produzca su remoción arbitraria, que constituyen sin duda garantías para su independencia.

El artículo 38.3 del RGPD dispone:

“El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

DPD_2.3

La independencia del DPD se refleja en lo siguiente:

  1. Que no recibirá instrucciones.
  2. Que depende directamente del más alto nivel jerárquico. Las autoridades de control, en su guía del RGPD, concretan esta nota señalando la necesidad que el DPD se relacione con el nivel superior de dirección que exista en la organización para la que preste servicios[3].

Si hiciéramos una analogía con la figura del Chief Compliance Officer (CCO), cada vez más presente en las organizaciones desde que el Código Penal recoge la Responsabilidad Penal de la Persona Jurídica, vemos que debe dialogar con la Alta Dirección, disponer de suficiente nivel jerárquico en la organización y no verse influenciado en su trabajo. En determinados casos y organizaciones podrían confluir ambos roles DPD y CCO en la misma persona, ya que podríamos llegar a considerar el cumplimiento de las obligaciones respecto a la protección de datos como una forma de Compliance.

Asimismo, al menos, en el caso de las AAPP, tal y como ha dicho la AEPD “dadas las funciones del DPD, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal. Asimismo, el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones”.  Y entendemos que las mismas consideraciones serían válidas en el sector privado.

  1. Y, por último, que no podrá ser sancionado o destituido por el hecho de desempeñar sus funciones.

Por lo que respecta a su nombramiento y cese, el artículo 35 de la ANLOPD dispone:

“3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

4.La Agencia Española de Protección de Datos mantendrá una relación actualizada de delegados de protección de datos que será accesible por medios electrónicos.”

2.4. EL DESPIDO O SANCIÓN POR REALIZAR TAREAS DE DPD

Como hemos visto el artículo 38.3 del RGPD dispone:

“… No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”.

 En relación con las sanciones hay que decir que según el WP29DPD “el concepto de sanción es muy amplio (no promoción, denegación de beneficios…)”. Si que puede ser por otras conductas (ej. Robo, acoso etc..).

Pero, a diferencia de borradores anteriores, en el texto final del RGPD[4] no se establece un plazo mínimo de mandato, lo que puede ser una puerta trasera a la destitución “tácita” por finalización del contrato de prestación del servicio. En cambio, en los contratos laborales “la existencia de una relación laboral ordinaria supondría la aplicación de las previsiones estatutarias y convencionales a la totalidad de sus condiciones laborales. En materia de contratación ello implicaría la práctica imposibilidad de suscribir contratos temporales con los DPD, al menos en aquellos casos en los que la figura resulte obligatoria para el empleador en virtud de lo previsto en el artículo 37 del RGPD y en la normativa de desarrollo que resulte de aplicación[5]“.

Por su parte, el artículo 37.2. del ANLOPD dispone: “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio”.

Analizando las causas de despido hay que empezar aceptando la posibilidad de despido disciplinario. Si se mantiene la previsión del ANLOPD, el empresario debería probar la existencia del dolo o la negligencia grave. Pero, tal y como se ha dicho, al tratarse de un “cargo de confianza” debe de tenerse en cuenta que al valorar “las medidas disciplinarias impuestas a cargos de confianza en supuestos de abuso de confianza supone una restricción en la aplicación de la teoría gradualista de las sanciones que resulta de aplicación con carácter general a los incumplimientos del deber de buena fe” ya que“ en virtud de la teoría de la graduación, en los casos de incumplimiento del deber de buena fe se toma en consideración la gravedad de la conducta y la voluntariedad del sujeto infractor para determinar la validez de la medida impuesta”.

También podrían ser despedidos cuando se den las causas objetivas del artículo 52 del ET.

DPD_2.5.

2.5.  COMPATIBILIDAD CON OTRAS FUNCIONES. ANÁLISIS DE CONFLICTO DE INTERESES.

En principio, el DPD puede ostentar otras funciones, siempre que no sean incompatibles.

En este sentido, el  artículo 38.6 RGPD dispone que “El responsable o el encargado garantizará que no se produzca conflicto de intereses”.

Como dice el WP29DPD “La ausencia de conflicto de intereses está estrechamente relacionada con la obligación de actuar de manera independiente”.

“Esto implica en particular que el DPO no puede tener una posición dentro de la organización que lleva a determinar los fines y los medios del tratamiento de datos personales. Debido a la estructura organizativa específica en cada organización, esto ha de ser considerada caso por caso”.

El WP29DPD pone algunos ejemplos:

  • Como regla general considera que cargos directivos operativos son incompatibles con la función de DPD, tales como: Director General, de operaciones, financiero, de marketing, de recursos humanos o de TI, por citar algunos ejemplos.
  • Pero también pueden ser incompatibles otros roles menos elevados en la estructura organizativa si tales posiciones o roles conducen a la determinación de fines y medios de procesamiento.

La AEPD ha dicho refiriéndose a las AAPP – pero, entendemos que también serían trasladables dichas consideraciones al ámbito privado –  que “el DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información)”.

[1] Monzón Pérez, Helena. Puede consultarse el citado artículo en la siguiente url: https://www.upf.edu/documents/3885005/58976718/Delegado_Proteccion_+HMonzon.pdf/9938ac2d-e15b-f8aa-d403-cff0ff4b7e7d. Última consulta efectuada el 29/08/2017.

[2]  El artículo 35.2. del RGPD dispone que “El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

[3] Guía del Reglamento General de Protección de Datos Para Responsables de Tratamiento, Agencia Española de Protección de Datos, APDCAT, Agencia Vasca de Protección de Datos. Puede consultarse en https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf. Última consulta efectuada el 29/08/2017.

[4]En el anterior borrador del Reglamento se establecía:

  1. Mandato mínimo de cuatro años en el caso de un empleado o de dos años en el caso de un proveedor de servicios externos.
  2. Que podrá ser nombrado para nuevos mandatos.
  3. Y que durante su mandato, solo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones.

[5] Monzón Pérez, Helena. Puede consultarse el citado artículo en la siguiente url: https://www.upf.edu/documents/3885005/58976718/Delegado_Proteccion_+HMonzon.pdf/9938ac2d-e15b-f8aa-d403-cff0ff4b7e7d. Última consulta efectuada el 29/08/2017.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *