Javier Puyol Montero - La figura del Delegado de Protección de Datos (DPD)

https://www.iberley.es/noticias/aepd-publico-sistema-notificar-designacion-delegados-proteccion-datos-28770

38Cfr. AEPD. ““Guía rápida de comunicación del Delegado de Protección de Datos”. Registro General de Protección de Datos. Incluida en el Anexo II de esta Obra.

Capítulo III

El nombramiento del DPD y los diferentes modelos organizativos de la función del DPD

1. El DPD externo vs. DPD interno. La relación laboral vs. El contrato de prestación de servicios.

Un problema que se suscita a menudo en el seno de las organizaciones radica en el hecho de determinar si el DPD debe ser una figura interna o externa con relación a la estructura de la misma.

Para solventar esta cuestión, en primer término y en aras de determinar el modelo organizativo del DPD a instaurar en el seno de una organización se ha de partir necesariamente del contenido del artículo 37, apartado 6 del RGPD, donde se señala que: “el delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”.

Por tanto, y consiguientemente con el tenor literal del precepto trascrito el DPD podrá ser un miembro de la plantilla del responsable o del encargado el tratamiento, y en este caso, será un DPD interno o «desempeñar sus funciones en el marco de un contrato de servicios», y supondrá que la organización tiene un DPD externo. Esto significa que el DPD puede ser externo y, en ese caso, su función puede ejercerse sobre la base de un contrato de servicios suscrito con una persona física o una organización.

Debe tenerse presente que, si el DPD es externo o interno, en todo caso y de manera indiferente se le van a aplicar el contenido de los requisitos establecidos en los artículos 37 a 39 del RGPD

Sin perjuicio de lo anterior, el carácter interno o externo, o laboral o no, sobre la base de un contrato de servicios, debe tenerse presente, tal como señala Recio39, que el DPD está unido también a la cuestión relativa a su designación, ya sea obligatoria o voluntaria.

En el primer caso, es necesario tener en consideración que tiene que llevarse a cabo en los supuestos previstos en el apartado 1 del artículo 37 del RGPD, o cuando sea exigible en otros supuestos previstos en el Derecho de la Unión Europea, lo que ocurre por ejemplo en virtud de la Directiva (UE) 2016/680 el Derecho nacional, debiendo prestar especial atención a la LOPDGDD, que trata, en su artículo 34, de aclarar o especificar lo dispuesto en el RGPD para evitar dudas sobre los casos en los que, sin perjuicio de aquél, es obligatorio designar a un DPD.

Y en los casos en los que pueda plantarse alguna duda sobre la necesidad o no de designar a un DPD, la organización deberá realizar una evaluación que quede documentada con la finalidad de demostrar que se ha actuado conforme al principio de responsabilidad proactiva. Al respecto, es una cuestión no tratada en el RGPD, pero a la que sí se ha referido el CEPD.

En relación con lo anterior, debe prestarse también atención a la designación formal del DPD, que, aunque no se prevea como requisito en el RGPD, es un instrumento relevante por lo que se refiere a garantizar su estatuto jurídico.

La designación por escrito del DPD es esencial, y en relación con esta se puede, y en el caso de las Administraciones Públicas se debería, aprovechar la experiencia acumulada en el marco del Reglamento (CE) número 45/2001, en concreto por lo que respecta a la obligación, en virtud del apartado 8 del artículo 24, de adoptar las normas complementarias en las que, entre otras cuestiones, se establezcan las funciones del DPD y otras cuestiones relativas a su estatuto jurídico.

Tal como señala el Grupo de Trabajo del artículo 2940, la función del DPD puede ejercerse también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento.

En este último caso, es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD (p.ej. es fundamental que nadie tenga un conflicto de intereses).

Y es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD (p. ej. las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD, así como la destitución improcedente del miembro de la organización que realice las funciones del DPD).

Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir a sus clientes de forma más eficaz.

En aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo del DPD y designar una única persona como contacto y persona «a cargo» de cada cliente.

Por ello, el Grupo de Trabajo del artículo 29 concluye afirmando que sería también útil, en general, especificar estos puntos en el contrato de servicios.

Tanto en un caso como en otro, el contrato de trabajo, como el contrato de prestación de servicios profesionales como DPD, debe incluir específicamente las obligaciones y funciones que la organización desea que sean asumidas por el DPD, a los efectos de clarificar desde el primer momento los derechos y obligaciones laborales y profesionales que se establezcan en dicha relación jurídica.

En el examen de la organización del modelo de DPD y su régimen jurídico para con la organización a la que prestan sus servicios, debe partirse necesariamente del contenido del artículo 18 de la Directiva 95/46/CE, donde si bien existía, tal como ha quedado indicado anteriormente, el reconocimiento de dicha figura no se profundizaba en el régimen jurídico del DPD, es decir en los derechos y obligaciones que regulaban su función, y tampoco en su régimen estructural dentro o fuera de la organización. Simplemente se establecía dentro del marco de notificación de ficheros a la autoridad de control, “cuando, para las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías de los interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o:

– Cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:

– Hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,

– Llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados”.

1.1. El DPD interno, y el establecimiento de la relación laboral del DPD en la organización.

Monzón Pérez41 ha determinado que, pese a que el régimen jurídico del DPD que ha sido expuesto en los apartados previos, integra unos complejos deberes y garantías, el ordenamiento jurídico laboral no ha incorporado ninguna disposición en la materia. Por tanto, en la actualidad la contratación laboral de DPD’s se encontraría sujeta a las previsiones normativas establecidas en el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, por lo que en la actualidad no existe una previsión desde la perspectiva laboral de sus derechos y obligaciones como tal empleado de la organización.