“Y YO QUE PENSABA QUE EL DPD NO TENÍA QUE ARREMANGARSE”, MAMÁ … !!
FUNCIONES Y OBLIGACIONES DEL DPD
En los anteriores artículos hemos analizado:
- Por un lado los antecedentes del DPD (DPO) y supuestos de nombramiento https://www.govertis.com/antecedentes-del-dpd-dpo
- Y por otro lado las Posibilidades de configuración del DPD (DPO): Interno/externo, individual/colectivo y su posición o régimen https://www.govertis.com/me-hablas-mas-del-dpd-mama
En este abordamos lo relativo a sus funciones y obligaciones.
Dejaremos para un último artículo el análisis sobre su capacitación profesional haciendo especial referencia al esquema de certificación.
Antes de entrar en el análisis de las funciones del DPD hay que decir que se ha producido un “engordamiento” de las mismas fruto quizá de una extrema delgadez en las funciones que – según una lectura literal del RGPD – se derivaban. Quizá las tareas que le asigna la lectura que realizan las autoridades de control sea “más realista” no relegando al DPD a una posición generalizada de asesor y supervisor; pero ello deberá adecuarse al tamaño e idiosincrasia de las organizaciones en relación con el tratamiento de datos que efectúen, puesto que también es cierto que la segregación de funciones a veces aconsejará que algunas tareas ejecutivas de las que se le asignan sean asumidas por los responsables de seguridad, reservándose él ese rol de asesoramiento y supervisión, como parece pretendía ser el sentido de la norma.
Aunque –insisto –habrá que adaptarse a la organización en que se integre.
1. FUNCIONES DEL DPO
1.1. FUNCIONES SEGÚN EL RGPD
El artículo 39 del RGPD establece como funciones del DPD las siguientes:
- Informar y asesorar al responsable, al encargado y empleados.
- Supervisar el cumplimiento incluyendo asignación de responsabilidades, concienciación y formación del personal.
- Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.
Adicionalmente, hay que tener en cuenta que el RGPD exige que el DPD actúe teniendo presentes los riesgos relativos a las operaciones de tratamiento, con especial consideración de su naturaleza, alcance, contexto y fines.
Las anteriores funciones, muy genéricas, han sido concretadas por la AEPD, tanto en relación con las AAPP, como, en general, en el esquema de certificación, tales como las siguientes:
- Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
- Identificación de las bases jurídicas de los tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas, distintas de las establecidas por la normativa general de protección de datos.
- Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
- Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
- Diseño e implantación de políticas de protección de datos.
- Auditoría de protección de datos.
- Establecimiento y gestión de los registros de actividades de tratamiento.
- Análisis de riesgo de los tratamientos realizados.
- Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto, adecuadas a los riesgos y naturaleza de los tratamientos
- Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
- Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados
- Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos
- Realización de evaluaciones de impacto sobre la protección de datos
- Relaciones con las autoridades de supervisión.
- Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
No obstante dicha relación, parece poco lógico que algunas tareas que parecen encomendársele al DPD sean literalmente “suyas”. Así sucede, por ejemplo, cuando se habla de “Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado”. Lo mismo sucede con otras tareas que no llevan un verbo como la referencia genérica a “Auditoría de protección de datos”. En esos casos parece que la función del DPD debería ser asesorar y supervisar, pero no ejecutar o implantar; al menos en un escenario ideal en el que se produzca una correcta segregación de funciones entre responsables de seguridad y DPD.
Por ejemplo, si hablamos de evaluaciones de impacto, no parece que su función sea la de ejecutarlas siempre; aunque es verdad que las autoridades de control han ido abriendo paso progresivamente a esta posibilidad de que en ciertas organizaciones sea el propio DPD el que la ejecute, aunque en un escenario ideal de segregación de funciones lo suyo sería que quien la ejecutase fuese el o un responsable de seguridad, y él asesorase y supervisase. Esto dependerá del tamaño y actividad de la organización o del tratamiento objeto de evaluación.
La APDCAT ha venido a aceptar esta posibilidad de que la ejecución y supervisión puedan recaer, ambas, en el DPD diciendo que es una decisión de cada organización, que forma parte de la propia decisión de adopción de medidas de seguridad y que, por tanto, será adoptada teniendo en cuenta los riesgos que ello entraña.
Por tanto, cuando hablamos de ejecución de las mismas y sin perjuicio de que siempre deba intervenir hay que distinguir[1]:
a) En algunos casos su labor podrá ser de coordinación o de interlocución principal con los evaluadores.
b) o bien más secundaria de colaboración con el evaluador.
Pero, su labor principal es la de asesorar en ellas al Responsable o Encargado del tratamiento y supervisarla.
Por lo que respecta al asesoramiento, algunas de las cuestiones sobre las que se solicitará el mismo pueden ser, por ejemplo[2]:
- Realizar o no una evaluación de impacto en materia de protección de datos.
- Participar en su diseño, lo que incluye entre otras cosas ayudar a definir qué metodología seguir cuando se lleva a cabo una evaluación de impacto. La APDCAT hace referencia por ejemplo incluso a la posibilidad de que elabore una guía de evaluación.
- Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
- Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
- Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como verificar que las conclusiones cumplen con el Reglamento.
- Atender las consultas y dar el soporte que el responsable o encargado le requieran en cada caso.
Otro ejemplo puede ser el registro de actividades de tratamiento. Comparto en esto la opinión de XAVIER RIBAS cuando dice:
“por lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento, bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento”.
1.2. FUNCIONES ADICIONALES DEL DPD SEGÚN EL ANLOPD: GESTIÓN DE RECLAMACIONES
El artículo 38 del ANLOPD añade como funciones del DPD la “intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos” de la siguiente forma:
“1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos será posible, con carácter previo a la presentación de reclamaciones contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, que el afectado se dirija al delegado de protección de datos de la entidad contra la que se reclame.
En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
- Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes.
Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VII de esta ley orgánica y en sus normas de desarrollo”.
1.3. OTRAS POSIBLES FUNCIONES ASUMIDAS CONTRACTUALMENTE
Hay que tener en cuenta la posibilidad de añadir a las anteriores funciones “ope legis” otras funciones que se asuman contractualmente. En este sentido en el esquema de certificación del DPD se señala que las funciones previstas en el artículo 39 del RGPD tienen un carácter mínimo, por lo que podrían verse ampliadas contractualmente.
La AEPD también señala entre las funciones de asesoramiento del DPD, que este debe participar activamente en la aplicación del principio de protección de datos “(…) por diseño y por defecto…”.
2. OBLIGACIONES
2.1. EL DEBER DE SECRETO DEL DPD ¿TAMBIÉN DERECHO?
El artículo 38.5 del RGPD dispone:
“El DPO estará obligado al deber de secreto y confidencialidad en el ejercicio de sus funciones”.
Aquí se aborda el secreto y confidencialidad como un deber que tiene el DPD, como una obligación de proteger la información.
Pero además hay que tener en cuenta que es posible abordar el secreto y confidencialidad desde otra perspectiva: la de derecho. Es decir: ¿se puede negar el DPD a facilitar información o tiene derecho a mantenerla reservada? Ese derecho entendemos que tendrá dos proyecciones con diferente graduación:
a) Una interna, que le “protegerá” frente a la propia organización.
Esto hay que ponerlo en relación con otros ejemplos de información que recibe o maneja la organización, como por ejemplo el canal de denuncias. Los canales de denuncias que “se han puesto” de moda en diferentes ámbitos, particularmente en relación con la responsabilidad penal de las personas jurídicas, y también en materia de transparencia. Pero también pueden comunicarse infracciones en materia de protección de datos. En todo caso, sea por esta vía u otra que el DPD conozca de información tiene el “derecho” y no sólo el deber de secreto. No obstante este derecho al igual que todos no es ilimitado y hay que tener en cuenta la existencia de límites derivados de su condición de cargo de confianza.
b) Otra externa que le protegería por ejemplo frente a las solicitudes de información de terceros.
Aquí hay que ponerlo en relación con el perfil profesional que tenga el DPD puesto que si en general eso puede admitir dudas cuando sea un abogado este derecho podría estar en algunos casos acentuado por el secreto profesional. Y decimos en algunos casos porque el secreto profesional del abogado de empresa (en este caso si el DPD fuese un abogado) es un tema polémico, sobre todo después de la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 14 de septiembre de 2010 (TJCE 2010275), asunto Azko Nobel Chemicals Ltd. Y Arkros Chemicals Ltd., que niega al abogado el secreto profesional si es un abogado interno alegando que carece de independencia. La consecuencia de ello sería que las comunicaciones que haya mantenido con la empresa no quedarían amparadas por el citado secreto profesional. Cosa distinta sería si la relación del abogado de empresa (o en este caso del DPD) estuviese basada en una relación mercantil.
2.2. OBLIGACIÓN DE COMUNICAR LAS VULNERACIONES AL RESPONSABLE O ENCARGADO DEL TRATAMIENTO
Por último el artículo 37.5. del ANLOPD añade una nueva función del DPD:
“Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento, proponiéndoles las medidas necesarias para evitar la persistencia en esa conducta.
[1]Como ha dicho la APDCAT en su guía de evaluaciones de impacto: http://apdcat.gencat.cat/ca/documentacio/RGPD/altres_documents_dinteres/Guia-sobre-lavaluacio-dimpacte-relativa-a-la-proteccio-de-dades-al-RGPD/. Última consulta efectuada el 29/08/2017.
[2]Algunas de estas las expone XAVIER RIBAS. https://xribas.com/2016/12/20/nuevas-guias-para-la-figura-del-data-protection-officer/. Última consulta efectuada el 29/08/2017.
Eduard Chaveli
IT Lawyer. GOVERTIS
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.