Volver

¿Cumple su DPO con los requisitos normativos? Las autoridades de control se lanzan a averiguarlo

Publicaciones
23-mar-23

Recientemente, el Comité Europeo de Protección de Datos (en adelante “EDPB” por sus siglas en inglés) ha anunciado el lanzamiento de una nueva iniciativa: la acción coordinada a nivel europeo de revisión de la situación de los Delegados de Protección de Datos (en adelante “DPO” por sus siglas en inglés).

Mediante esta acción coordinada, se pretende comprobar si los Responsables del Tratamiento, a la hora de designar a sus DPOs, realmente cumplen los requisitos incluidos en los artículos 37 a 39 del Reglamento General de Protección de Datos (“RGPD”), es decir:

1.     Que el DPO haya sido designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

2.     Que al DPO se le permita participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

3.     Que se le haya facilitado los recursos necesarios para el desempeño sus funciones, y se le haya dotado de acceso a los datos personales y a las operaciones de tratamiento, y 

4.     Que el DPO cuente con el respaldo de la dirección, es decir, que no sea un nombramiento destinado a “cubrir” una obligación legal, sino que se trate de un puesto con una relevancia real.

5.     Que se le dote de medios para el mantenimiento de sus conocimientos especializados.

6.     Que no se instruya al DPO en cómo desempeñar sus funciones desde la entidad, es decir, que se respete su independencia.

7.     Que se evite que el DPO se encuentre en una situación de conflicto de interés

El secretario del EDPB ha dejado claro que este procedimiento se realizará mediante el envió de cuestionarios a un gran número de DPOs, y que las respuestas que estos emitan pueden derivar en el lanzamiento de investigaciones posteriores. Se prevé, igualmente, que esto pueda derivar en sanciones para los casos de incumplimiento.

Ahora más que nunca es importante que los Directores Ejecutivos y los Consejos de Dirección de las empresas hagan un proceso de introspección para analizar si la figura del DPO que tienen en su empresa cumple los requisitos antes indicados o, como pasa en muchos casos, se trata más de un cargo figurativo que se ha designado con la finalidad de cumplir la normativa sobre el papel, pero sin poner medios reales para tener un impacto, siquiera menor, en el tratamiento de datos personales por parte de la entidad que los contrata.

De los puntos antes citados, los más difíciles de cumplir para las entidades son los relativos a la obligación de proporcionar medios y recursos para cumplir las obligaciones, y garantizar la inexistencia de conflictos de interés, puntos que, en muchos casos, van de la mano.

Es muy difícil ver la rentabilidad de un DPO ya que, al igual que ocurre con un Compliance Officer, es una figura que tiene una función preventiva y no de negocio, lo que no permite calcular un ROI, como si ocurre con otros puestos como puede ser un Director de Marketing, que tiene un impacto mucho más directo en las ventas de la compañía.

Esto ha derivado en que el DPO y su equipo haya sido, y siga siendo, un departamento en el que no suelan invertirse cantidades de recursos internos grandes (o cantidades en absoluto), priorizándose la inversión de otros equipos e iniciativas. 

Esto también ha derivado en que, como método de reducción de costes, se hayan “consolidado” cargos dentro de la empresa, nombrando DPO a personas que ya poseen otros cargos directivos, generalmente directores de asesoría jurídica, directores de IT, y similares, sin que la dirección de la entidad sea consciente de que dicho nombramiento constituye un claro conflicto de interés, ya que la función del DPO es garantizar los derechos de los interesados, mientras que la de cargos como el director legal o de IT es defender a la empresa y optimizar sus recursos tecnológicos, respectivamente, sin tener en cuenta si dichas actividades benefician o no a los usuarios. También en muchos casos, sin que esos perfiles tengan conocimientos suficientes (o a veces ninguno) sobre protección de datos.

Aunque de las veintiséis Autoridades de Control que el EDPB ha anunciado que participaran en esta iniciativa aún no se conocen todas, sí que podemos garantizar que la Agencia Española de Protección de Datos es una de las implicadas, ya que ella misma ha anunciado que lanzará el mencionado cuestionario contra un total de 30.000 DPOs que tiene registrados.

Es por ello por lo que es necesario que las entidades procedan a organizar los cambios necesarios para que sus DPOs cumplan todos los requisitos listados al inicio de este artículo, ante lo que es un claro aviso de las Autoridades de Control de que los nombramientos “para cubrir las apariencias” de los DPOs tienen una fecha de caducidad.

Enrique Extremera Maestro, Head of Privacy, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
14-nov-24
EE.UU. ordena a TSMC suspender envíos de chips IA a China
This is some text inside of a div block.
Leer más
14-nov-24
Alibaba presenta Accio: su asistente basado en IA
This is some text inside of a div block.
Leer más
14-nov-24
Meta buscará contentar a los reguladores europeos
This is some text inside of a div block.
Leer más