¿Nombrar un DPO interno? La gran dificultad de su despido o sustitución
Desde la entrada en vigor del Reglamento General de Protección de Datos (“RGPD”) muchas empresas se han visto obligadas, como parte de su proceso de adecuación a esta normativa, a designar un Delegado de Protección de Datos (“DPD” o “DPO”, por sus siglas en inglés) al coincidir su actividad con los aquellas recogidas en el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) o en los requisitos, todavía más generales, del artículo 37 del propio RGPD. Muchas otras empresas, en cambio, han visto la ventaja de nombrar de forma voluntaria dicha figura para contar con un asesoramiento continuo en materia de protección de datos, así como para mostrar su compromiso con la seguridad de los datos de sus clientes o empleados.
En ambos casos, y una vez decidido el nombramiento de esta figura, la primera pregunta que debe hacerse las empresas es si dicho nombramiento debería recaer en una figura interna de la compañía, ya sea alguien que ya forma parte de su plantilla o un nuevo colaborador que se contrate desde fuera, o si es mejor externalizar este servicio a una entidad especializada en la materia.
Antes de tomar esta decisión, más importante de lo que parece a simple vista por las grandes dificultades de revertir la misma, es necesario entender las obligaciones que tiene la empresa respecto de esta figura, y cómo las mismas se aplican de forma completamente distinta cuando el DPD es interno o externo:
- Cualidades profesionales: El DPD tiene que tener unos conocimientos legales y técnicos que le permitan aplicar la normativa vigente en la materia de forma efectiva y rápida. Si bien un DPD interno puede tener estas capacidades, un DPD externo, cuya función es precisamente esta, garantiza esta capacidad tanto en su persona como en el equipo que trabaja con él.
- Independencia: Un DPD debe ser el valedor del usuario en la empresa y no estar sometido a presiones internas. Un DPD interno, parte de la plantilla, tiene muchas menos garantías de independencia que un DPD externo, que responde únicamente ante la dirección de la empresa y que no está sometido a la jerarquía de la compañía.
- Conflicto de intereses: Un DPD no debe ostentar un cargo en el que pueda tener que tomar decisiones de negocio, respecto de las cuales un DPD deba ser consultado o deba requerirse su aprobación. En relación con lo anterior, garantizar que no existe un conflicto de intereses de un DPD interno es mucho más complicado que en el caso de un DPD externo, ya que el primero puede tener más obligaciones o cargos en la empresa, o puede caerse en la tentación de ofrecer incentivos relacionados con el negocio, frente a un DPD externo que carece de estos conflictos o incentivos.
- Conocimiento de la compañía: El DPD debe tener conocimientos suficientes del sector en el cual se engloba la compañía, y de sectores intrínsecamente ligados con el mismo, al menos. Un DPD interno conocerá en mayor profundidad la compañía que un DPD externo, aunque también puede verse contaminado por este conocimiento, y asumir ciertos puntos que sean erróneos por haberse producido cambios a nivel interno sin su conocimiento.
- Recursos necesarios: El DPD debe tener recursos suficientes para cumplir sus labores con eficacia y rapidez. A un DPD interno debe dotársele de recursos por parte de la propia entidad, mientras que un DPD externo ya dispone de su infraestructura y recursos suficientes para la prestación de sus servicios, sin que esto implique un coste adicional para la empresa.
- Formación: El DPD debe tener un proceso de formación continua que garantice que sus conocimientos están actualizados y reflejan las últimas novedades normativas y sociales. Un DPD externo tiene la experiencia y recursos para cumplir la obligación de formación y renovación continua, frente a un DPD interno que debe ser formado por la empresa.
Habiendo analizado las funciones del DPD, ahora debemos preguntarnos: ¿Qué pasaría si debemos cambiar este DPD? Es decir, qué requisitos existen para despedir al DPD si la compañía pierde la confianza en el mismo, o sustituirlo si, por los motivos que sean, esta persona no puede desempeñar sus funciones durante cierto periodo (por ejemplo, por un motivo médico).
En caso de un DPD externo, la respuesta en sencilla: El DPD externo puede ser remplazado al acabar el contrato, es decir, no renovar el mismo, por haberse perdido la confianza en él. Por otro lado, los casos de baja temporal no suelen ser un problema, ya que la mayoría de organizaciones que prestan servicio como DPO tienen un equipo de expertos que desarrollan estás funciones, y la baja de uno no implica una interrupción del servicio prestado.
En el caso de un DPD interno, la cosa se complica enormemente, ya que esta figura goza de especial protección. De hecho, esta figura ha sido equiparada a la del responsable del servicio de prevención de las empresas por la STSJ Madrid núm. 910/2021, de 29 diciembre, lo que implica la extensión a la figura del DPD de las garantías del art. 56.4 del Estatuto de los Trabajadores.
Estas garantías, especialmente reservadas a representantes legales de trabajadores, permite, en caso de despido improcedente, optar por la indemnización o la readmisión según su propio criterio y no el de la empresa. Además, también se les otorga el beneficio cobrar los salarios de tramitación incluso cuando opten por la opción de la indemnización.
Esto, unido a la protección reforzada que tiene esta figura en cuanto a su independencia (incapacidad de la empresa de darle instrucciones) implica que todo despido será improcedente salvo que haya un incumplimiento manifiesto de sus funciones o una clara falta de capacidad para desempeñarlas, pero nunca en el caso de que sus criterios sean distintos a los de la empresa o aspectos similares.
Esta figura está especialmente protegida contra posibles “represalias” de la empresa, entendiéndose como tal toda actividad de la empresa que pueda interpretarse como un castigo consecuencia del desempeño de sus funciones Esto implica que la empresa deberá tener mayor cuidado con todas aquellas actuaciones en relación con su DPD, incluidas ciertas actividades parte de la gestión de los recursos humanos, que pudieran interpretarse por las autoridades como intentos de ejercer presión en esta figura, o constituir una sanción para tratar de vulnerar su independencia.
Por último, en caso de que este DPD interno no pueda ejercer sus funciones durante determinado tiempo, las empresas deberán buscar un sustituto que cumpla los requisitos enumerados anteriormente (capacidad, independencia, conflictos de interés, etc.) para que cubra esta baja hasta la recuperación del DPD titular, lo que puede conllevar costes elevados para la empresa (ya que, en muchos casos, va a implicar la contratación temporal de personal externo cualificado a un coste mucho mayor del habitual, dado el carácter temporal del contrato y la especialización de la figura).
Además, este proceso de sustitución temporal puede conllevar riesgos adicionales, como retrasos importantes en los proyectos que requieran de la intervención del DPD o falta de respuesta a requerimientos de la Autoridad de Control, comunicación de brechas, gestión de derechos de los interesados, etc.
Por todo ello, parece deducirse que, si bien la figura del DPD interno puede tener sus aspectos positivos, las ventajas de un DPD externo son mucho mayores tanto para lograr alcanzar los requisitos normativos que deben respetarse en el nombramiento de esta figura, como de cara al efectivo control y seguimiento de costes por parte de la empresa, de forma que se permite garantizar el cumplimiento y la seguridad normativa al mismo tiempo que se optimizan los recursos de la entidad.
Enrique Extremera Maestro, Head Privacy Counsel, Legal Army