12 Sep Sobre el DPO: incompatibilidades, formación, regimen sancionador y su nombramiento
EL DPO: FORMACIÓN, INDEPENDENCIA E INCOMPATIBILIDADES
Sin duda una de las novedades más importante de la regulación de protección de datos y que más inquietudes ha causado, es el DPD (delegado de protección de datos).
Respecto a su FORMACIÓN:
1) Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
2) Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
3) El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
4) El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.
Sobre su INDEPENDENCIA:
El DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
El RGPD aclara que el responsable o el encargado velarán por que el DPO sea plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos.
Sobre las INCOMPATIBILIDADES:
Uno de los mayores inconvenientes que podemos encontrarnos en el proceso de designación de un DPO en el seno de la entidad, es el perfil elegido y la posible incompatibilidad de funciones que pudiera existir. Este aspecto se encuentra en el debate constante dentro de las entidades, no sólo en cuanto a personas, sino a nivel de departamentos.
Así, el Grupo de Trabajo del Artículo 29, en relación con las incompatibilidades y posibles conflictos de intereses, establece que, si bien el artículo 38 del RGPD posibilita que el DPO desempeñe otras funciones y cometidos, éstas no podrán implicar un conflicto de intereses, debiendo el DPO actuar, en todo momento, con un criterio de independencia.
El DPO, no podrá ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales, debiendo considerarse caso por caso. Por ello, podrían entrar en ese conflicto de intereses, puestos de alta dirección.
Régimen sancionador:
Puntualizar que el art. 73 de la LODPGDD regula, como infracciones graves:
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
Y el art. 74, regula como infracción leve:
p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
Necesidad o no de nombrar un DPO
La lista de entidades obligadas, esta recogida en el art.34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En principio, un solo profesional tratando los datos no necesita DPO: El art. 34.1 i de la citada Ley, habla específicamente de que necesitan DPO los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, pero se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
Ya adelantaba Grupo de Trabajo del Artículo 29 en su guía sobre el DPO, como casos que no constituyen tratamiento a gran escala, y por tanto no requerían DPO:
- el tratamiento de datos de pacientes por parte de un solo médico;
- el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.
CONCLUSIONES
Respecto a la externalización de esta figura, deberán adoptarse las mismas garantías analizadas en el presente artículo, debiendo, adicionalmente, mediar la responsabilidad de la empresa en relación con la elección del proveedor, velando porque el prestador de servicios seleccionado cumpla con todos los requisitos antes mencionados, especialmente en lo que se refiere a conocimiento para garantizar el pleno cumplimiento de la normativa.
Podemos también concluir que el DPO tiene que ser una persona con dotes de comunicación, empatía y comunicativo. Debe saber transmitir de forma clara y objetiva, generar confianza y saber también escuchar y detectar las necesidades de la empresa.