Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

Su nivel de especialización no debe valorarse exclusivamente por el hecho de conocer y dominar esta materia, sino que dicho nivel de conocimiento está en función, y así se debe determinar, en relación con las concretas operaciones de tratamiento de datos que se lleven a cabo en el ámbito de las actividades desarrollada bien por el responsable, bien en su caso, por el encargado de tratamiento.

En los términos señalados por el Grupo de Trabajo del artículo 29, dicho nivel de conocimientos requerido no se encuentra definido de manera estricta en el ámbito del Reglamento (UE), debiendo ser en todo caso el mismo acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata.

La función del DPD implica el conocimiento de un conjunto de bloques normativos, que dependen del país donde desarrolle su actividad, al empresa o responsable/encargado del tratamiento al que preste sus servicios, y debe tenerse en cuenta que ello, va más allá de los meros conocimientos jurídicos o técnicos en el ámbito de la protección de datos personales, ya que no debe olvidarse que la empresa de ordinario tiene estructuras muy amplias, y por ello, debe tener un profundo conocimiento de la actividad desarrollada por dicha empresa30, aunque no tiene que ser un técnico especializado en todos los ámbitos de actuación de la misma, su nivel de formación y su experiencia le ha de permitir poder supervisar las diversas áreas que la componen, con la finalidad de poder detectar los puntos débiles que puedan afectar al desarrollo de sus funciones dentro de la organización, y al mismo tiempo, tener la capacidad de desarrollar mecanismos de control y que permitan controlar de manera adecuada su evolución.

Por tanto, los conocimientos jurídicos generales unidos a los de carácter específico propios del ámbito de la protección de datos personales, no debe considerarse como un punto de partida para el DPD, sino que los mismos deben encontrarse complementados en función del área de actividad que desarrolle la empresa o, el responsable o encargado del tratamiento para el cual, dicho DPD preste sus servicios laborales o profesionales.

En este sentido, el Grupo de Trabajo del artículo 2931, señala que el DPD debe elegirse con cuidado, dadas las responsabilidades que asume para el buen funcionamiento de la actividad de la empresa, dentro del ámbito de la empresa, teniendo debidamente en cuenta las cuestiones relativas a la protección de datos que surjan en la organización.

Igualmente, se debe poner de manifiesto como el elemento de formación continua constituye un requisito sine qua non para todo DPD, incluso para la propia renovación de su certificación profesional como tal. Dicha formación continua debe proyectarse en el caso del DPD, en temas novedosos conforme se van produciendo avances en la tecnología, que traigan como consecuencia importantes novedades en la aplicación o en la interpretación de la normativa sobre protección de datos personales.

Este mismo criterio debe ser aplicación en la necesidad cada vez más recurrente de los DPD’s de proceder a tener una especialización de carácter sectorial.

Finalmente, el Grupo de Trabajo del Artículo 2932, se ha pronunciado sobre la necesidad de formación continua de los DPD, y se ha recomendado que por parte de las autoridades de control se fomente y promueva una formación adecuada y regular para los DPD’s.

B. Las cualidades profesionales, o el nivel de habilidad personal y profesional que debe concurrir en la figura del DPD.

Debe insistirse, tal como antes se indicó, que el citado apartado 5º del artículo 37 del Reglamento 2016/679 no especifica cuáles o en qué consisten las cualidades profesionales que se deben tener en cuenta a la hora de designar a un DPD.

En este sentido, el Grupo de Trabajo del Artículo 2933 ha indicado que la capacidad del DPD para desempeñar sus funciones debe interpretarse tanto en referencia a sus cualidades personales y conocimientos como a su puesto dentro de la organización.

En el examen de estas características personales y profesionales propias del DPD, debe partirse de lo afirmado en el apartado in fine del Considerando 97 del Reglamento 2016/679, por el que se afirma que, dicho DPD debe “estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.

El concepto de independencia en el ejercicio de la función del DPD hace referencia, sin que en su actuación medie la existencia de instrucciones por parte del responsable o del encargado del tratamiento, quienes tienen que estar en condiciones y garantizar en todo caso esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. El desempeño de su función basado en la independencia puede ser calificado como el eje principal del principio de responsabilidad activa del Reglamento (UE) 2016/679, precisamente por ser la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones34.

Es importante recalcar que, no obstante, el concepto de independencia, el mismo no puede ser llevado a tal extremo, que, sobre la base del mismo, el DPD de carácter personal sustituya al responsable o encargado de tratamiento. En este sentido, debe tenerse en cuenta que en ningún caso el DPD tiene que sustituir al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos, ni tampoco puede o debe asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables, como consecuencia de tratamientos de datos no acordes con la normativa vigente sobre protección de datos personales.

Estas consideraciones determinan que las cualidades personales que debe reunir un DPD deben incluir, a título de ejemplo las siguientes características:

a) Un adecuado grado de integridad personal, y un nivel elevado de ética profesional.

b) La principal preocupación de un DPD debe ser posibilitar el cumplimiento del Reglamento (UE) 2016/679 la Ley Orgánica 3/2018 de 5 de diciembre, y demás normativa nacional, europea, y en su caso internacional vigente en el ámbito de la protección de datos de carácter personal.

c) El DPD desempeña, además, un papel fundamental en la promoción de una cultura de protección de datos dentro de la organización y contribuye a la aplicación de elementos esenciales de la normativa vigente sobre privacidad, como pueden ser, entre otras cuestiones relevantes en la materia, las siguientes:

c.1.). Los principios relativos al tratamiento de datos.

c.2). Los derechos de los interesados.

c.3). La protección de los datos desde el diseño y por defecto.

c.4). El registro de las actividades de tratamiento.

c.5). La seguridad del tratamiento.

c.6.). La notificación y comunicación de las violaciones de la seguridad de los datos.

5. La publicación y la comunicación de los datos de contacto del DPD.

En el examen de lo atinente a la obligación de proceder a publicar y a comunicar los datos de contacto del DPD ante la autoridad de control35, debe tenerse presente que el RGPD dispone que los responsables y encargados de tratamiento deberán designar un DPD (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembros de la Unión Europea, así lo considere también obligatorio.

Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD36).

Del mismo modo, en el ámbito de las entidades del sector privado el RGPD establece algunos supuestos en los que es también obligatoria la designación de los DPD tanto para los responsables como para los encargados del tratamiento. El RGPD establece en su artículo 37.7 que: “El responsable o el encargado del tratamiento publicarán los datos de contacto del DPD y los comunicarán a la autoridad de control”.