El delegado de protección de datos no puede presentar alegaciones en nombre de su cliente
La Agencia Española de Protección de Datos (AEPD) ha intensificado sus labores de supervisión y cumplimiento del Reglamento General de Protección de Datos (RGPD) en los últimos años, lo que ha derivado en un aumento significativo de las sanciones impuestas a organizaciones que infringen la normativa. En este contexto, el papel del Delegado de Protección de Datos (DPD) ha cobrado una relevancia inusitada. Sin embargo, una cuestión recurrente en el ámbito jurídico y empresarial es hasta qué punto el DPD puede representar a la organización en los procedimientos sancionadores iniciados por la AEPD.
Funciones del delegado de protección de datos
El Delegado de Protección de Datos (DPD) es una figura clave en el ámbito de la protección de datos personales, cuya función principal es velar por el cumplimiento de la normativa vigente en materia de protección de datos dentro de una organización.
Sus principales funciones son:
- Informar y asesorar: al responsable o encargado del tratamiento de datos y a los empleados sobre las obligaciones que impone el RGPD y demás normativa aplicable.
- Supervisar: el cumplimiento del RGPD y de las políticas internas de la organización en materia de protección de datos.
- Cooperar: con la autoridad de control (en España, la AEPD) en el desempeño de sus funciones, y con los interesados en el ejercicio de sus derechos.
En resumen, el DPD actúa como un garante interno de la protección de datos, asegurando que:
- La organización trate los datos personales de manera lícita, leal y transparente.
- Se respeten los derechos de los interesados.
- Se minimicen los riesgos para los derechos y libertades de las personas físicas.
¿Cuándo es obligatorio designar un DPD?
La designación de un DPD es obligatoria en ciertos casos:
- El tratamiento es realizado por una autoridad pública o un organismo de derecho público.
- Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieren una evaluación de impacto de protección de datos a gran escala.
- El responsable o el encargado realiza a gran escala operaciones de tratamiento de categorías especiales de datos o de datos personales relativos a condenas penales y delitos.
Sanción al delegado de protección de datos
Un DPD fue sancionado por la AEPD por presentar alegaciones en un procedimiento sancionador en nombre del Responsable del Tratamiento.
A pesar de que el DPD alegó que solo actuó como punto de contacto y que el Responsable del Tratamiento estaba al tanto de todo, la AEPD consideró que:
- El DPD excedió sus funciones: al presentar las alegaciones y firmar el documento como autor, asumió un rol que podría comprometer su independencia.
- Hubo un conflicto de intereses: al asesorar al Responsable del Tratamiento y, al mismo tiempo, defenderlo en el procedimiento sancionador.
- No se respetó la separación de funciones entre el DPD y el Responsable del Tratamiento, lo cual es fundamental para garantizar la imparcialidad del DPD.
La AEPD concluyó que esta conducta no fue un simple error, sino una infracción grave que puso en riesgo la independencia e integridad del DPD.
En resumen, la AEPD ha establecido un precedente claro: el DPD debe mantener una estricta independencia y no puede asumir roles que puedan generar conflictos de intereses.
En Letslaw, somos especialistas en protección de datos y ejercemos funciones de Delegados de Protección de datos para nuestros clientes. Si necesitas más información, ponte en contacto con nosotros.
Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras.