Servicio DPO externo ¿Cómo nombrarlo?
El Delegado de Protección de Datos (DPO) será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
Debe recordarse que el Reglamento General de Protección de Datos (RGPD), en su artículo 37, posibilita la externalización de esta figura, es decir, el DPO podrá formar parte de la plantilla del responsable o del encargado del tratamiento, o bien desempeñar sus funciones en el marco de un contrato de servicios. En este sentido, deberán adoptarse las mismas garantías que cuando se nombra un DPO interno, debiendo, adicionalmente, mediar la responsabilidad de la empresa en relación con la elección del proveedor, su experiencia y cualificaciones para las funciones a desarrollar, aspectos íntimamente ligados al concepto de Accountability desarrollado por el RGPD.
El servicio de DPO externo puede ser una persona jurídica como, por ejemplo, un despacho de abogados. Hay casos en los que podría tener sentido compartir el mismo DPO externo, como en el caso de pequeñas organizaciones que se ocupan de actividades de tratamiento de datos similares.
Por lo que respecta a su nombramiento y cese, ha de tenerse en cuenta que los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos (AEPD) y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
Asimismo, la AEPD mantendrá una relación actualizada de delegados de protección de datos que será accesible por medios electrónicos.
Certificación del Delegado Protección de Datos
Un DPO debe contar con las mencionadas cualidades explícitas que recoge el artículo 37.5 del RGPD, el cual establece que esta figura será designada atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho nacional y europeo sobre protección de datos. Concretamente, sobre el sector y modelo de negocio de la organización, en el ámbito privado, y sobre las reglas y procedimientos, en el sector público. En este sentido, el Considerando (97) RGPD establece que el conocimiento especializado necesario del DPO “se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos”.
Asimismo, debe atenderse a la práctica en materia de protección de datos y a su “capacidad para ejecutar las tareas contempladas en el art. 39. del RGPD”. Esta capacidad se refiere a cualidades personales relacionadas con la integridad y alta ética profesional en su posición dentro de la organización.
A dichas cualidades hay que añadir otras como (i) el conocimiento sectorial, tal y como dispone el considerando 97 del RGPD: “El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado”; (ii) la capacidad de comunicación, empatía, habilidades personales y de negociación, habida cuenta de su posición de interlocutor con las autoridades de control y con los interesados y sus representantes; (iii) conocimiento de idiomas, dada la existencia de un marco normativo común europeo; (iv) conocimiento de gestión de riesgos. Por último, (v) el DPO deberá aprender a trabajar en equipo, gestionarlos y liderarlos.
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
- El RGPD no exige que el DPO deba ser jurista, pero sí que cuente con conocimientos en Derecho.
- Los requisitos mencionados podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación, no siendo estos exigibles. Sin embargo, los DPO deben poder acreditar su desarrollo profesional continuo, siendo totalmente necesaria una actualización y formación continuas.
En base a lo anterior, la AEPD ha considerado necesario establecer un Esquema de Certificación de profesionales de protección de datos que permita evaluar a los posibles candidatos externos, de forma que en este momento corresponde a la Entidad Nacional de Acreditación (ENAC) acreditar cuáles serán las entidades certificadoras del DPD. Ello de conformidad con los artículos 42 y 43 del RGPD, que regulan la obligación de los Estados miembros y las autoridades de control de crear mecanismos de certificación en materia de protección de datos.
Las certificaciones serán otorgadas por entidades de certificación acreditados por ENAC, siguiendo criterios de certificación elaborados por la AEPD en colaboración con los sectores afectados. La AEPD mantendrá un registro actualizado de dichas entidades.
La certificación del DPO es el mecanismo que permite poder acreditar con solvencia que cuentan con los conocimientos necesarios y con la capacidad requerida para entender, prever y dar soluciones a riesgos legales y de seguridad en el desarrollo de su actividad profesional. Todo ello supone una garantía tanto para responsables y encargados del tratamiento de que su DPO tiene las competencias requeridas, como para el propio DPO, que dispondrá de un sistema de valoración neutral que le permitirá tener la certeza de que está suficientemente capacitado para desarrollar sus funciones.
En conclusión: el RGPD no establece ningún criterio de titulación para los DPD, debiendo tener en cuenta -y así lo ha señalado la propia AEPD-, que la certificación se constituye como un instrumento de garantía y transparencia para los responsables y encargados de tratamiento, pero no como única vía de acceso al cargo.
Responsabilidad
El Delegado de Protección de Datos es uno de los ejes fundamentales del ya mencionado principio de responsabilidad activa o Accountability que contempla el RGPD.
En el nuevo marco reforzado de cumplimiento basado en la responsabilidad, el DPO es la persona encargada de (i) informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de (ii) velar o supervisar el cumplimiento normativo al respecto, (iii) cooperar con la autoridad de control y (iv) actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.
Se puede definir al DPO como la persona responsable de supervisar y monitorear, de forma independiente, la aplicación interna y el respeto de las normas sobre protección de datos. La figura del DPO tiene, para la AEPD, una función fundamental como interlocutor para facilitar la adopción de las correspondientes medidas protectoras en el seno de las entidades, desarrollando así la labor proactiva que la Agencia quiere impulsar.
Sin embargo, la designación de un DPO no exime a la propia institución u organización de responsabilidad de cuanto al cumplimiento de las obligaciones del Reglamento u otras contempladas en el elenco normativo sobre protección de datos. Sí podría caber una responsabilidad por vía de repetición, en los casos de delegados externos, por parte del responsable o encargado del tratamiento que hubiera sido sancionado por el incumplimiento o defectuosa observancia de las funciones que el propio Reglamento establece para el DPO. Por tanto, es recomendable que el profesional externo a la organización que presta sus servicios en esta materia cuente con un seguro de responsabilidad civil suficiente.
En conclusión, el DPO no debería tener una responsabilidad individual con respecto al tratamientos de datos personales, pues conforme a lo establecido en el RGPD, la organización es la responsable de cualquier incumplimiento. Aun así, la entidad puede decidir tomar acciones, de acuerdo con la Ley, contra un DPO negligente, tal y como sería el caso respecto de cualquier otro empleado o proveedor de servicios que pueda ser considerado responsable en última instancia de los daños y perjuicios sufridos.
Garantías
El DPO cobra una importancia fundamental como garante de información y asesoramiento en el cumplimiento de la normativa, lo cual redunda en un mayor respeto de los derechos fundamentales de los ciudadanos. Esta labor encierra, por lo tanto, una enorme responsabilidad que va más allá del cumplimiento normativo, siendo necesaria una carga ética que debe regir su actuación profesional.
El artículo 38.3 del RGPD dispone que “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.
Por tanto, la garantía de independencia del DPO se refleja en lo siguiente:
- No recibirá instrucciones.
- Dependerá directamente del más alto nivel jerárquico.
- No podrá ser sancionado o destituido por el hecho de desempeñar sus funciones.
Letslaw
En Letslaw prestamos servicios como DPO y asesoramos en relación a la necesidad de esta figura en determinadas entidades y organizaciones.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.