El DPO en la Organización

Explicamos cual sería la posición del DPO en la organización en base al Reglamento y lo complementamos con las directrices dadas por el Grupo de Trabajo del Art. 29 de 13 de diciembre de 2016

 

Artículo 38 Posición del delegado de protección de datos

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

 

GT 29 Es crucial que el DPO se involucre desde la fase más temprana posible en todas las cuestiones relacionadas con la protección de datos.

Participará en las evaluaciones de impacto, deberá ser informado y consultado sobre los tratamientos para aplicar la privacidad en el diseño y por defecto en los estadios iniciales de una operación de tratamiento

En consecuencia, la organización debe garantizar, por ejemplo, que:

  • Se invite al DPO a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Se recomienda que esté presente cuando se tomen decisiones con implicaciones para la protección de datos. Toda la información relevante deberá transmitirse al DPO de manera oportuna para que pueda prestar un asesoramiento adecuado.
  • La opinión del DPO deberá siempre gozar de la consideración debida. En caso de desacuerdo, el GT29 recomienda, como buena práctica, documentar las razones de no seguir el consejo del DPO.
  • Deberá consultarse con prontitud al DPD una vez que se produzca una violación de datos u otro incidente.

 

 

2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

 

  • Medios materiales y humanos en su caso
  • Acceso a datos y operaciones de tratamiento
  • Formación y actualización de conocimientos debidamente justificados.

 

Deben tenerse en cuenta, en especial, los siguientes aspectos:

  • Apoyo activo a la función del DPO por parte de la alta dirección
  • Apoyo adecuado en cuanto a recursos económicos, infraestructura (locales, instalaciones, equipos) y personal donde sea pertinente.
  • Comunicación oficial de la designación del DPO a todo el personal para asegurar que su existencia y su función se conozcan dentro de la organización.
  • Acceso necesario a otros servicios, tales como recursos humanos, departamento jurídico, TI, seguridad, etcétera, de modo que los DPO puedan recibir apoyo esencial, datos e información de esos otros servicios.
  • Formación continua. Debe darse a los DPO la oportunidad de mantenerse al corriente de todos los avances que se den en el ámbito de la protección de datos. El objetivo debe ser aumentar constantemente el nivel de conocimiento de los DPO, por lo que se les debe animar a participar en cursos de formación sobre protección de datos y otras formas de desarrollo profesional, como participación en foros sobre privacidad, talleres, etcétera.
  • En función del tamaño y la estructura de la organización, puede que sea necesario establecer un equipo del DP0 (un DPD y su personal). En tales casos, la estructura interna del equipo así como las tareas y responsabilidades de cada uno de sus miembros deben delimitarse claramente. Del mismo modo, cuando la función del DP0 la ejerza un proveedor de servicios externo, un equipo de personas que trabaje para dicha entidad podrá llevar a cabo de hecho las tareas de un DP0 a modo de equipo, bajo la responsabilidad de un contacto principal designado para el cliente.

  

3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

  • Independencia absoluta y blindaje en el desempeño de sus funciones, siempre evidentemente, que las cumpla.
  • Rendición de cuentas al máximo nivel organizacional

 

GT 29: Esto significa que, en el desempeño de sus tareas según el artículo 39, los DPO no deben recibir instrucciones sobre el modo de ocuparse de un asunto, por ejemplo, sobre el resultado que debe alcanzarse, sobre el modo de investigar una queja o sobre si debe consultarse a la autoridad supervisora.

Asimismo, no deben recibir instrucciones de adoptar una determinada postura sobre una cuestión relacionada con la legislación de protección de datos, por ejemplo, una interpretación concreta de la ley.

La autonomía de los DPO no significa, sin embargo, que tengan la potestad de tomar decisiones que vayan más allá de sus funciones definidas con arreglo al artículo 39.

El responsable o el encargado del tratamiento sigue siendo el responsable del cumplimiento de la ley de protección de datos y debe poder demostrarlo. Si el responsable o el encargado toman decisiones que sean incompatibles con el RGPD y el consejo del DPO, deberá darse la posibilidad al DPO de expresar con claridad su opinión disconforme ante los responsables de dichas decisiones.

Los DPO no son personalmente responsables en caso de incumplimiento del RGPD. El RGPD declara taxativamente que es el responsable o el encargado del tratamiento quien está obligado a garantizar y poder demostrar que el tratamiento se lleva a cabo con arreglo a sus disposiciones.

 

Los DPO «no deben ser destituidos ni penalizados por el responsable o el encargado del tratamiento por llevar a cabo sus funciones».

Las sanciones solo están prohibidas según el RGPD si se imponen como resultado del desempeño por parte del DPO de sus funciones definidas. Por ejemplo, un DPO puede que considere que un tratamiento concreto es susceptible de causar un riesgo elevado y aconseja al responsable o el encargado que lleve a cabo una evaluación de impacto de la protección de datos pero el responsable o el encargado no está de acuerdo con la evaluación del DPO. En un caso así, el DPO no puede ser destituido por expresar este consejo.

 

4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

Consultas y dudas sobre los tratamientos

Ejercicio de los derechos

 

5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

  • Confidencialidad y deber de secreto

6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

  • Compatibilidades/Incompatibilidades (por conflicto de intereses)
  • Refuerza la idea de un DPO externo

 

GT 29: La ausencia de conflicto de interés está estrechamente ligada al requisito de actuar con independencia. Esto supone en especial que el DPO no puede detentar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.