Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

Del mismo modo, la accesibilidad también implica la disponibilidad física de acceso al DPD por parte de los empleados de la organización bien sea en las mismas instalaciones de la empresa, bien a través del uso del correo electrónico, o, incluso mediante el empleo de otros medios de comunicación, donde se garantice el contacto seguro con el DPD.

En todo caso, para la designación de un único DPD para una organización o grupo empresarial, donde existan un numeroso grupo de empresas, es importante que se tenga en consideración la estructura organizativa de las mismas y su tamaño, que, si lugar a dudas va a condicionar los recursos que se tenga que invertir para que la gestión del DPD único se eficaz, y el modo de articular las comunicaciones internas dentro de la propia organización.

Todo ello debe ir orientado a que el desempeño de las funciones propias del DPD dentro del conjunto de la organización determine incumplimiento eficaz, que aporte valor añadido real para el funcionamiento del grupo empresarial, que garantice la comunicación y la colaboración adecuada con la autoridad de control en materia de proteger de datos de carácter personal, y finalmente, que asegure de manera adecuada los derechos de los titulares de los datos

Para garantizar que el DPD sea accesible a todo el conjunto de la organización empresarial, el Grupo de Trabajo del artículo 29 recomienda que dicho DPD se encuentre ubicado dentro de la Unión Europea, y ello con independencia del hecho consistente en si el responsable o el encargado del tratamiento está establecido territorialmente en ella.

No obstante, no debe excluirse que, en algunas situaciones en las que el responsable o el encargado del tratamiento no tenga establecimiento abierto en el ámbito territorial de la Unión Europea, un DPD pueda llevar a cabo sus actividades de manera más eficaz si se encuentra situado fuera de la Unión Europea28, y ello deberá deducirse del análisis de la estructura y de las necesidades existentes en el seno de la propia organización empresarial.

4. Los conocimientos y habilidades que debe reunir el DPD.

En el examen de los conocimientos y las habilidades que ha de reunir la figura del DPD, se deben tener en consideración una serie de cuestiones determinantes con relación a la posición que el mismo ocupa en el seno de cualquier empresa, de acuerdo con la normativa vigente, que son las siguientes:

a) Que, el DPD viene a representar una figura de “ayuda” o de colaboración necesaria de acuerdo con la exigencia normativa vigente al efecto, con el responsable o encargado de protección de datos en las funciones de cumplimiento del Reglamento (UE) 2016/679.

b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo empresa privada o una autoridad pública, la persona nombrada como DPD debe acreditar “conocimientos especializados del Derecho y la práctica en materia de protección de datos” (por consiguiente, tales conocimientos se deberían acreditar en un procedimiento objetivo (v.gr.: a través de una certificación, sin perjuicio de la posibilidad de la utilización de “otros medios” para acreditar tales exigencias.

c) Que el DPD puede ser una persona que preste servicios laborales o profesionales interna o externamente a una empresa privada o a la Administración Pública.

d) Y, que esa figura debe tener un estatuto jurídico que salvaguarde su independencia, lo cual incorpora un elemento existencial y diferencial a lo que sea el DPD en una empresa privada o en las administraciones públicas y entidades vinculadas o dependientes en relación con otros puestos orgánicos de esas mismas estructuras organizativas29.

Con relación al ámbito de los conocimientos y habilidades que ha de reunir la persona que desempeñe la función de DPD, debe acudirse en primer término, a lo afirmado el Considerando número 97 del Reglamento (UE) 2016/679, en el que se indica lo siguiente:

“Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

Complementariamente a ello, se afirma en el apartado 5º del artículo 37 del Reglamento (UE) 2016/679, que:

“El DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.

Todo ello conlleva a la necesidad de proceder al análisis de las cualidades profesionales que debe revestir todo DPD, y al mismo tiempo, profundizar en la necesidad de que cuente con conocimientos especializados en Derecho, y de manera específica en el ámbito de la protección de datos personales, con la finalidad de que todo ello le cualifique de manera adecuada, para el desempeño de las funciones profesionales que para él se encuentran previstas tanto en el RGPD, como en la Ley Orgánica 3/2018, así como en el modelo de Certificación profesional establecido por la AEPD y la ENAC.

A continuación, vamos a proceder al análisis de estos requisitos con los que debe contar todo DPD.

A. El nivel de conocimientos del DPD.

En primer término, de haberse referencia al nivel de conocimientos exigible al DPD.

Debe poseer un profundo conocimiento de la legislación nacional e internacional, dentro del ámbito territorial donde desarrolle su actividad el responsable y/o el encargado del tratamiento para el cual preste sus servicios, con especial atención a la normativa y a las prácticas en materia de protección de datos de carácter personal. Ello, obviamente abarca la legislación específica sobre la materia. Debe hacerse con relación a este conocimiento una especial referencia al Reglamento (UE) 2016/679, y a la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, poseyendo un conocimiento profundo, y una especial identificación y sensibilización con relación a los principios y los valores en los que se fundamenta dicho complejo normativo, así como las resoluciones y los criterios más relevantes establecidos por las autoridades de control, interpretando en cada momento la normativa vigente.

Al hilo de ello, y de manera consecuente con ambos pronunciamientos normativos trascritos, debe recalcarse que, el nivel de conocimientos debe ser en primer término, de carácter jurídico, y además los mismos deben ser necesariamente especializados en el ámbito de la protección de datos de carácter personal, pero la exigencia normativa para el DPD va más allá.