Mucho se ha escrito sobre quién puede ser el Delegado de Protección de Datos (DPO por sus siglas en inglés) de una organización; sin embargo, no nos hemos parado tanto a preguntarnos quién NO puede serlo.

En octubre de 2016, la Autoridad de Protección de Datos de Baviera (en adelante, BayLDA) multó a una empresa alemana, por ignorar la petición de designar a otro Delegado de Protección de Datos, distinto del Director IT, sobre el que se apreciaba un conflicto de intereses.

De acuerdo con la ley alemana de protección de datos (FDPA), las empresas deben designar obligatoriamente, a un DPO, externo o interno, si al menos diez personas están involucradas en el tratamiento automatizado de datos de carácter personal.

El DPO debe designarse atendiendo a sus cualidades profesionales, sobre todo teniendo en cuenta sus conocimientos especializados de la legislación, las prácticas en materia de protección de datos, y en particular a la ausencia de conflictos de interés, siendo en éste último punto donde sería necesario detenerse.

En las Directrices del Grupo de Trabajo del Artículo 29 sobre el DPO, se discute esta cuestión, señalándose que, si bien el RGPD permite a un DPO realizar “otras tareas y deberes”, la organización no deberá nombrar a un DPO que pueda detentar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.

Como regla general, las posiciones en conflicto pueden incluir puestos de alta dirección (tales como Director General, Director de Operaciones, Departamento Legal, Director Financiero, Director de Marketing, Director de Recursos Humanos o Director de TI),  pero también otras funciones más abajo en la estructura organizativa si tales posiciones o roles conducen a la determinación de propósitos y medios de procesamiento.

Si tenemos en cuenta que el Grupo de Trabajo del Artículo 29 prevé conflictos de interés en la práctica totalidad de departamentos que componen una organización, y que existen ciertos requisitos para ser DPO (conocimientos de Derecho, especialización en protección de datos, etc.), resulta difícil que realmente esta función se pueda compatibilizar con otras funciones dentro de la empresa.

Aplicando este criterio de forma estricta (y nuestra AEPD se distingue por ser especialmente estricta en la aplicación de la norma), podríamos encontrarnos con una obligación de facto de designar o contratar a un DPO con dedicación exclusiva a protección de datos.

Como se ha comentado en varias ocasiones, esta figura puede ser externa, mediante un contrato de prestación de servicios, pero resulta dudoso que las empresas puedan aceptar que un externo tenga autoridad ejecutiva (necesaria para ejercer la función de DPO), y más cuando se trata de una figura “protegida” que no puede ser despedida por cumplir con su función.

Si las empresas no quieren o pueden asumir el coste de un DPO interno, es probable que se vean en la necesidad de ceder parte de su autoridad a un DPO externo.

 

Marina Medela

Departamento Legal