A cualquier responsable del tratamiento de datos personales debería como mínimo sonarle la figura del Delegado de Protección de Datos (en adelante, DPD). Se trata de la persona o personas cuya función, a grandes rasgos, es la de ayudar al responsable o encargado a cumplir con todas sus obligaciones relativas al RGPD, a la LOPDGDD y al resto de normativa aplicable a esta materia.
En determinadas ocasiones, el nombramiento de un DPD no es opcional. Esto es, la organización debe contar con él tanto si quiere como si no. Ello ocurre, por ejemplo, en el caso de autoridades y organismos públicos, en el caso de organizaciones cuya actividad principal incluya operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, o cuando se realice tratamiento a gran escala de datos sensibles.
Estas líneas generales son las que definía el RGPD, pero la LOPDGDD en su día llegó todavía más lejos. El artículo 34.1 de esta norma definió una larga lista de organizaciones que pasaban a estar obligadas a contar con un DPD. Entre ellas cabe destacar:
Como puede verse, el elenco de entidades obligadas es bastante amplio. Y no hace falta decir que no contar con un DPD cuando es obligatorio implica importantes problemas legales. De hecho, la LOPDGDD considera infracción grave el no designar un DPD cuando sea obligatorio. Por lo tanto, no debería quedar duda de que es imprescindible contar con esta figura si la normativa lo exige.
Ahora bien ¿qué sucede cuando no es obligatorio hacerlo?.
Quizá el primer impulso sea el de considerar que, ya que la Ley no lo exige, lo mejor será no tenerlo. Sin embargo, este criterio puede no ser fiable. Porque, en realidad, contar con un DPD cuando no es obligatorio puede ofrecer grandes ventajas a la organización.
Para empezar, esta filosofía organizativa puede reducir hipotéticas sanciones por incumplimientos de la normativa de protección de datos. En efecto, el artículo 76.2.h) nos dice, literalmente, que a la hora de graduar la sanción a imponer se tendrá en cuenta el hecho de «disponer, cuando no fuere obligatorio, de un delegado de protección de datos». Dicho de otro modo, tener DPD de forma voluntaria puede reducir las posibles sanciones.
Además, el DPD puede jugar un papel muy importante ante una queja de los interesados. La LOPDGDD (en su artículo 37) ofrece la posibilidad de que el DPD cumpla funciones de mediación. Esto es, que trate de resolver problemas incluso antes de que lleguen a la AEPD y a un procedimiento sancionador.
Más aun, la propia AEPD está facultada para redirigir reclamaciones al DPD de la organización, si es que lo tiene.
Si no lo tiene, como es natural, tendrá que ser la propia AEPD la que estudie el tema. Y quizá sus conclusiones sean más duras con la organización de que se trate. Por ello parece buena idea contar con esa especie de «cortafuegos» que es el DPD. Lo mejor de este sistema es que resulta útil para todas las partes implicadas.
Según un reciente informe de la AEPD (que puede consultarse en este enlace), dos de cada tres reclamaciones que fueron dirigidas en el último año al DPD se resolvieron de forma satisfactoria. No solo eso, sino que el plazo de resolución de los problemas pasó de una media de más de 200 días a una media de 100. Con lo que todo el mundo gana: la AEPD no ve saturados sus escasos medios, las organizaciones afectadas se evitan el riesgo de un procedimiento sancionador, y los interesados obtienen una respuesta rápida y que valoran de forma positiva.
Pero este sistema, insistimos, solo puede utilizarse si la organización cuenta con un DPD.
(Ello por no incidir en los beneficios reputacionales de esta filosofía, o en el hecho de que una AEPD saturada de trabajo sin duda agradecerá que se lo facilitemos).
Teniendo ya claro que designar a un DPD siempre es buena idea, aunque no sea legalmente obligatorio, la duda que nos puede quedar es a quién seleccionar.
No insistiremos mucho en que el DPD puede ser interno (alguien de dentro de la propia organización) o externo (una persona ajena, que profesionalmente se dedique a estas tareas). Lo que sí recalcaremos es que el RGPD y la LOPDGDD exigen que esta figura sea nombrada atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la normativa y la práctica en lo referente a protección de datos. También es buena idea que cuente con conocimientos relativos a la tecnología aplicada al tratamiento de datos.
Estos criterios, de por sí, ya deberían dejarnos claro que no es buena idea nombrar como DPD a alguien que no ofrezca las debidas garantías (aunque solo sea porque si sus consejos son equivocados, ello puede poner en riesgo legal a la organización). Pero la cuestión llega mucho más lejos: es un principio establecido en la normativa aplicable que el DPD debe contar con la máxima autonomía. Ello implica, de forma especial, que no puede ser destituido ni sancionado a menos que haya dolo o negligencia grave en el ejercicio de sus funciones.
En otras palabras, al nombrar a un DPD le estaremos ofreciendo un nivel de protección legal que dificultará (como es natural) despidos o sanciones. Por lo tanto lo mejor es asegurarnos previamente de que la persona designada nos ofrece la máxima fiabilidad. Alguien, como bien recomienda la normativa, que demuestre el suficiente nivel de conocimientos y que, al mismo tiempo, tenga una larga trayectoria de profesionalidad y ética.
Tanto si en su organización deciden nombrar a un DPD interno como a uno externo, en Auren podemos ayudarles. En el primer caso, podemos asesorar a su DPD para facilitar el ejercicio de sus funciones. En el segundo, directamente, podemos encargarnos de todas las tareas relativas al tratamiento de datos. Póngase en contacto con nosotros y resolveremos todas sus dudas.
Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales