El conflicto de intereses en la designación del Delegado de Protección de Datos
El nuevo Reglamento (UE) 2016/679 Del Parlamento Europeo Y Del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; introduce como novedad la figura del Delegado de Protección de Datos (en adelante, DPD), como responsable especializado del cumplimiento de la legislación sobre protección del datos en el marco interno de las entidades empresariales.
La figura del Delegado de Protección de datos puede integrarse en la entidad tanto de forma interna como externa. En el primero de los casos, será un empleado de la entidad responsable, EL que ejerza las funciones de DPD. Por el contrario, en los supuestos en los que se lleve a cabo una externalización del servicio, la función del DPD se encargará a una persona física u organización ajena a la entidad responsable por medio de la suscripción de un contrato de servicios (Art. 37.6 RGPD).
No obstante, en todo caso el ejercicio de las funciones de DPD tanto de forma externa como interna ha de estar amparados por las garantías de blindaje, autonomía, independencia y disponibilidad.
El reglamento establece una serie de supuestos tasados ante los cuales la designación del Delegado de Protección de Datos deviene obligatoria y que exponemos a continuación (Art. 37.1 RGPD):
- En el caso de los tratamiento realizados por organismos o autoridades públicas.
- En los supuestos de operaciones de tratamiento en los que se requiera una observación habitual y sistemática a gran escala de datos de los interesados.
- En los tratamientos a gran escala de categorías especiales de datos.
Ahora bien, la labor de designación de DPD puede resultar una labor compleja ante las posibles incompatibilidades o conflictos de intereses que pudieran existir. A este respecto, el propio artículo 38 del RGPD faculta al DPD para llevar a cabo otras funciones y cometidos dentro de la empresa, siempre y cuando estas no impliquen un conflicto de intereses.
Bajo esta tesitura el Grupo de Trabajo del artículo 29, órgano consultivo europeo especialista en cuestiones relativas a la protección de datos de las personas físicas, viene a concretar que el cargo de DPD no podrá desempeñarse por un cargo en la organización empresarial que esté directamente implicado en la determinación de los fines y medios del tratamiento de datos personales.
Ello autoriza a concluir que, de forma general, los puestos de alta dirección, aunque también cargos inferiores, van a ser principalmente los cargos en conflicto para su designación como DPD. A este respecto, cargos como el de director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento TI; van a resultar especialmente conflictivos en cuanto a su designación como DPD.
De hecho, sobre este aspecto, en 2016 la Autoridad de Protección de Datos de Baviera sancionaba una empresa por ignorar la petición de designar otro DPD diferente del Director de Sistemas; en tanto que en la designación del mismo incurría una clara causa de incompatibilidad, al suponer su actuación una auto supervisión de sus funciones lo cual influía en la garantía de independencia.
En resumidas cuentas, la labor de designación del DPD por parte de las entidades empresariales puede resultar una tarea ardua, por lo que en última ratio habrá que valorarse las designación de la figura del DPD ad cassum, es decir, analizando caso por caso de forma concreta. En todo caso, resultará conveniente documentar correctamente la designación del DPD delimitando de forma detallada las ocupaciones inherentes al cargo así como las garantías en las que se ampara la ejecución de sus funciones.
Autora: Belén Sánchez
