Situación del Delegado de Protección de Datos

1403
data protection officer contratacion

El nuevo Reglamento europeo contiene regulación extensa sobre el DPO. No hace falta que cada Estado miembro regule sobre sus funciones y responsabilidades. Ni que piense que el nuevo Reglamento impone el DPO que existía hasta la fecha. No se trata de un DPO alemán ni un DPO francés. Se trata de un DPO europeo que ha tenido en cuenta los modelos de figuras parecidas en ciertos Estados miembros pero que no ha reproducido tal cual ninguno de ellos.

Lo que sí es necesario es contar con una guía armonizada a nivel de la UE que aclare ciertos aspectos que plantean sus dudas. Una guía que debe estar guiada por un espíritu flexible, ya que las necesidades y posibilidades de cada organización requerirán un tipo de DPO diferente, tanto en el ámbito público como en el privado. Esta es la guía que ha publicado la UE el pasado 13 de diciembre.

Participación del DPO

El artículo 38 del GDPR dispone que el responsable del tratamiento y el DPO estarán implicados, de manera adecuada y oportuna, en todas las cuestiones relacionadas con la protección de datos.

Es crucial que el DPO participe desde el primer momento posible en todas las cuestiones relacionadas con la protección de los datos. En relación con las evaluaciones del impacto de la protección de datos, el GDPR prevé la implicación temprana del DPO y especifica que el responsable del tratamiento debe solicitar.

Facilitará el cumplimiento del Reglamento general de Protección de Datos. Garantizará un enfoque de privacidad por diseño. Además, es importante que el DPO sea considerado como un socio de discusión dentro de la organización. Y que formen parte de los grupos de trabajo que se ocupan de las actividades de procesamiento de datos dentro de la organización.

En consecuencia, la organización debe garantizar, por ejemplo, que:

  • El DPO participe regularmente en reuniones de altos y medianos directivos.
  • Se recomienda su presencia cuando las decisiones que tengan repercusiones en la protección de datos sean tomadas. Toda la información pertinente debe ser transmitida al DPO de manera oportuna para que pueda proporcionar asesoramiento adecuado.
  • Siempre se debe tener en cuenta la opinión del Delegado de Protección de Datos. En caso de desacuerdo, se recomienda, como buena práctica, documentar las razones por las que no siguió el consejo del RPD.
  • El DPO debe ser consultado prontamente una vez que se ha producido una violación de datos u otro incidente. Cuando proceda, el responsable del tratamiento podrá elaborar directrices o programas que establezcan cuando se debe consultar al DPO.

Medios exigidos por el RGPD para que el DPO realice sus funciones

El párrafo 2 del artículo 38 del GDPR exige que la organización apoye a su Delegado de Protección de Datos mediante los recursos necesarios para llevar a cabo sus tareas y acceso a los datos personales y las operaciones de protección.

En particular, se tendrán en cuenta los siguientes puntos:

  • Apoyo activo de la función del DPO por parte de la alta dirección (como a nivel de junta).
  • Tiempo suficiente para que los DPO,s cumplan sus funciones. Esto es particularmente importante cuando el DPO trabaje a tiempo parcial o cuando el trabajador realice la protección de datos además de otras obligaciones. De lo contrario, las prioridades conflictivas podrían dar lugar a que se descuiden los deberes del DPO. Tener tiempo suficiente para dedicar a las tareas de DPO es primordial. Es una buena práctica establecer un porcentaje de tiempo para la función DPO donde no se realiza a tiempo completo. Es también una buena práctica para determinar el tiempo necesario para llevar a cabo la función, el nivel adecuado de la prioridad para los deberes de los DPO, y para que el DPO (o la organización) elabore un plan de trabajo.

Otros aspectos que deben considerarse

  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, Equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal para asegurar que su existencia y su función es conocida dentro de la organización.
  • Acceso necesario a otros servicios, como Recursos Humanos, jurídicos, TI, seguridad, etc. Los Delegados de Protección de Datos pueden recibir apoyo esencial, aportaciones e información de esos otros servicios.
  • Entrenamiento continuo. Los DPO deberían tener la oportunidad de mantenerse actualizados en materia de Protección de datos. El objetivo debería ser aumentar constantemente el carácter de Expertos de los DPO. Deberían ser alentados a participar en cursos de formación sobre Protección de Datos y otras formas de desarrollo profesional, como la participación en foros de privacidad, Talleres, etc.
  • Dado el tamaño y la estructura de la organización, puede ser necesario establecer un equipo de DPO. En tales casos, la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros. Asimismo, cuando la función de DPO es ejercida por un proveedor de servicios externo, un equipo de profesionales que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de un DPO bajo responsabilidad de un contacto designado para el cliente.

En general, cuanto más complejas y sensibles sean las operaciones de procesamiento, más recursos deben proporcionarse al DPO.

La función de protección de datos debe ser eficaz y estar suficientemente cubierta en relación con el tratamiento de datos que se está llevando a cabo.

¿Seguir instrucciones o actuar de manera independiente?

El apartado 3 del artículo 38 establece algunas garantías básicas para garantizar que el DPO pueda realizar tareas con un grado suficiente de autonomía dentro de su organización. En particular, los controladores / procesadores están obligados a garantizar que el DPO no reciba ninguna instrucción en el ejercicio de sus funciones. Sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y tareas de manera independiente.

Esto significa que, en el desempeño de sus funciones en virtud del artículo 39, no se debe instruir los Delegados de Protección de Datos.

Por ejemplo, qué resultado debe lograrse, cómo investigar una queja o si se debe consultar a la autoridad de supervisión. Además, no se les debe dar instrucciones para que adopten una decisión sobre una cuestión relacionada con la ley de protección de datos, por ejemplo, una interpretación particular de la ley.

Sin embargo, la autonomía de los DPO no significa que tengan poderes de decisión que van más allá de sus funciones en virtud del artículo 39.

El controlador o procesador sigue siendo responsable del cumplimiento de la ley de protección de datos y debe ser capaz de demostrar ese cumplimiento.

Si el controlador o procesador toma decisiones que son incompatibles con el GDPR y el consejo del DPO, éste debe tener la posibilidad de hacer valer su opinión discrepante clara para los que toman las decisiones.

Despido o pena por realizar tareas de DPO

El artículo 38, apartado 3, también exige que los DPO no sean despedidos o penalizados por el responsable del fichero por realizar sus tareas.

Este requisito también fortalece la autonomía del DPO. Y ayuda a asegurar que actúa de manera independiente y disfruta de una protección suficiente en la realización de sus tareas de protección de datos.

Las penas sólo están prohibidas por el GDPR si se imponen como resultado del ejercicio de sus funciones como RPD. Por ejemplo, un DPO puede considerar que es probable que un tratamiento origina un riesgo elevado y aconsejar al controlador o al procesador que lleven a cabo determinadas medidas. Si el controlador o el procesador no está de acuerdo con la evaluación del DPO este no puede ser despedido por proporcionar este asesoramiento.

Tipos de sanciones

Las sanciones pueden adoptar diversas formas y pueden ser directas o indirectas. Podrían consistir, por ejemplo, en ausencia o retraso de la promoción; Prevención del avance profesional; Negación de beneficios que otros empleados reciben. No es necesario que estas sanciones sean efectivamente suficientes mientras se usen para penalizar al DPO por motivos relacionados con sus actividades como tal.

Como norma de gestión normal y como sería el caso para cualquier otro empleado o contratista sujeto a los contratos nacionales aplicables a la legislación laboral y penal, un DPO podría todavía ser despedido legítimamente por razones distintas de la realización de sus tareas como DPO (por ejemplo, en caso de robo, acoso físico, psicológico o sexual o mala conducta).

En este contexto, cabe señalar que el GDPR no especifica cómo y cuándo un DPO puede ser despedido o sustituido por otra persona. Sin embargo, cuanto más estable es el contrato de un DPO, y existen garantías contra el despido improcedente, es más probable que puedan actuar de manera independiente. Por lo tanto, la UE agradecería los esfuerzos de las organizaciones en este sentido.

Conflicto de intereses de los Delegados de Protección de Datos

El apartado 6 del artículo 38 permite a los DPO «cumplir otras tareas y obligaciones». Sin embargo, requiere que la organización garantice que tales tareas y obligaciones no resulten un conflicto de intereses.

Aunque se permite al DPO tener otras funciones, sólo se le puede confiar tareas y deberes siempre que éstos no den lugar a conflictos de intereses. Esto implica en particular que el DPO no puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y los medios de tratamiento de los datos personales. Debido a la estructura organizativa específica en cada organización, esto tiene que ser considerado caso por caso.

Dependiendo de las actividades, tamaño y estructura de la organización, los controladores o procesadores deben:

  • identificar las posiciones que serían incompatibles con la función del DPO
  • elaborar normas internas a tal efecto para evitar conflictos de intereses
  • incluir una explicación más general sobre los conflictos de intereses
  • declarar que su DPO no tiene conflictos de intereses en cuanto a su función como tal
  • incluir salvaguardias en las reglas internas de la organización y asegurar que la vacante para el puesto de DPO o el contrato de servicios es suficientemente precisa y clara para evitar un conflicto de intereses. En este contexto, también debe tenerse en cuenta que los conflictos de intereses pueden adoptar diversas formas dependiendo de si se recluta al DPO interna o externamente.
Situación del Delegado de Protección de Datos
4.5 (90%) 6 votos

Dejar respuesta