Carlos B Fernández. El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) ha hecho públicos los resultados de su Acción Europea Coordinada para analizar la designación y situación de los delegados de protección de datos (DPD) en entidades públicas y privadas (Coordinated Enforcement Action, Designation and Position of Data Protection Officers).
Se trata de una iniciativa englobada dentro del Marco de Ejecución Coordinada (CEF) del Comité, que se suma a la realizada en 2022 para analizar el uso de servicios en la nube por parte del sector público.
La finalidad de este documento es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.
Para ello, el informe proporciona una visión integral para identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en torno a la figura del delegado de protección de datos. Un profesional que ejerce una función fundamental de intermediación entre las Autoridades de Supervisión, la ciudadanía y las organizaciones, y contribuye de manera esencial al cumplimiento de la normativa de protección de datos y a promover la protección efectiva de los derechos de los interesados.
El informe, que ofrece una visión europea tanto del sector público como del privado, aglutina los resultados de las 25 autoridades de protección de datos que han participado en la iniciativa.
Por lo que respecta a entidades del sector privado, el cuestionario se ha dirigido a distintos sectores de actividad: educación, entidades bancarias y financieras, sanidad, sector energético, seguridad, servicios de telecomunicaciones, solvencia patrimonial y crédito, y actividades relacionadas con los juegos de azar y apuestas.
Recomendaciones
El informe recoge recomendaciones y puntos de atención dirigidos a las organizaciones, los DPD y las autoridades de control, en relación con diversos aspectos de la designación, competencias y medios de los DPD:
- Designación de un DPD
Se considera necesario impulsar iniciativas por parte de las autoridades de control para concienciar a las empresas de la obligación de designar un DPD, incluyendo directrices sobre los requisitos exigibles para designar un DPD, campañas de sensibilización y acciones ejecutivas sancionadoras.
- Medios a disposición de los DPD
Se subraya la necesidad de que los responsables del tratamiento verifiquen los medios puestos a disposición de los DPD para que estos puedan desempeñar con eficacia las funciones que tienen encomendadas.
Esto incluye la necesidad de analizar, caso por caso, qué medios resultan necesarios. En este sentido, el Comité recomienda que los responsables del tratamiento se tomen en serio esta obligación para que estén en condiciones de poder acreditar su cumplimiento.
Por otra parte, en aquellos casos en los que se recurra a DPD externos, los responsables y encargados del tratamiento deberán verificar el número de clientes que tiene su DPD, para asegurarse de que disponen del tiempo y la capacidad suficiente para acometer las relevantes obligaciones que les impone el RGPD.
En paralelo, tanto la publicación de orientaciones adecuadas y el ofrecimiento de materiales formativos adicionales pueden ayudar a los DPD a realizar su tarea en los plazos adecuados.
- Formación de los DPD
Se indica que tanto las autoridades de control nacionales como el Comité Europeo pueden proveer de formación adicional para los DPD, en particular de acuerdo con las necesidades de cada estado miembro.
Los responsables y encargados del tratamiento deben asegurarse de que documentan la formación de sus empleados, en particular para garantizar el cumplimiento de lo establecido en los arts. 24 (LA LEY 6637/2016) y 5.2 del RGPD y 26 y 4.2 del Reglamento (EU) 2018/1725, de 23 de octubre de 2018.
Además, los responsables y encargados del tratamiento deben asegurarse de que el DPD dispone de suficientes oportunidades, tiempo y recursos para mantener actualizados sus conocimientos y estar al día de las últimas novedades, incluyendo, cuando sea necesario para su actividad, de la nueva normativa en el ámbito digital o de la inteligencia artificial.
Se recomienda también incrementar el uso de los mecanismos de certificación y de la cooperación con los centros universitarios y de post grado.
- Asegurar que el DPD puede cumplir las tareas que tiene encomendadas por el RGPD
Debe incentivarse la necesaria separación entre las obligaciones del responsable o encargado del tratamiento y las obligaciones del DPD, de acuerdo con el Reglamento.
Los encargados del tratamiento deben asegurarse de promover el papel del DPD dentro de sus organizaciones para asegurarse de que este es visto como un elemento necesario y apoyado por la dirección.
Los encargados deben trabajar coordinadamente con su DPD para que este pueda desempeñar sus funciones con amplitud e independencia.
Las autoridades de control pueden apoyar iniciativas para proteger y mejorar la independencia de los DPD, sin que esta dependa de su condición de empleado interno o externo de la organización.
- Conflictos de intereses y pérdida de independencia del DPD
A pesar de que la expresión “conflicto de intereses” ya ha sido clarificada por las directrices del EDPB sobre los DPD (WP 243, de 5 de abril de 2017) y por la reciente jurisprudencia del TJUE (Sentencia de 9 de febrero de 2023, asunto C-453/21 (LA LEY 7668/2023), X-Fab Dresden), el informe continúa advirtiendo del riesgo de posibles conflictos de intereses.
Por ello plantea la necesidad de desarrollar más ampliamente las directrices ya emitidas, teniendo en cuenta los posibles nuevos roles asumidos por los DPD en algunas organizaciones ante la promulgación de la nueva regulación europea en el ámbito digital, en particular para asegurarse de que el DPD no asuma responsabilidades que conlleven un conflicto de intereses.
Además, se indica que los DPD debe ser capaces de recoger pruebas para el caso de que se produzcan interferencias en su independencia.
- Importancia de promover los mecanismos internos para que el DPD reporte al más alto nivel de la organización.
Para ello se recomienda adoptar estándares, políticas internas y mejores prácticas para definir adecuadamente las condiciones, frecuencia, contenidos y efectividad del reporte directo del DPO.
- Continuar con la labor desarrollada hasta ahora por las autoridades de control con el fin de proporcionar directrices y herramientas que contribuyan al eficaz desempeño de las funciones de delegado de protección de datos.
Más del 85% de los DPO de las empresas españolas son externos
Por parte de la AEPD, se han analizado las prácticas de las más de 10.000 entidades del sector público y privado que han respondido al cuestionario remitido y que incluía cuestiones relacionadas con la designación, conocimiento y experiencia de los DPD, sus tareas y recursos o su papel y posición en sus respectivas organizaciones, entre otras.
Según los datos recabados por la Agencia española, el 86% de los DPO de las empresas y entidades encuestadas no eran empleados de plantilla de las mismas, sino externos.
En opinión de la AEPD el hecho de que “un número significativo de organizaciones contrata a DPD externos”, podría, en algunos casos, mostrar una debilidad en el sistema, por aumentar el riesgo de que la función de DPO pueda considerarse como una formalidad que debe cumplirse en lugar de una participación real y proactiva del DPO en el tratamiento de datos que llevan a cabo las organizaciones.
En cuanto a la duración de los nombramientos de los DPO, las cifras muestran que el 58% de los encuestados tiene una relación permanente con el responsable del tratamiento, lo que indica un número importante de nombramientos temporales que podría correlacionarse con el número de DPO externos. En opinión de la Agencia, este dato puede correlacionarse con el hecho explicado en el párrafo anterior y puede reforzar la preocupación en torno a que los responsables del tratamiento prioricen una designación formal del DPD para cubrir el requisito legal, en lugar de un verdadero compromiso proactivo por su parte.
Por otra parte, la mayoría de los encuestados muestran una situación bastante positiva en términos de disponibilidad de recursos para desempeñar su función.
Sin embargo, todavía se consideran mejorables aspectos como la participación del DPO en todas las cuestiones en las que esté implicado el tratamiento de datos personales.
Finalmente, la mayoría de los encuestados considera adecuadas las orientaciones, las herramientas en línea, las directrices así como la publicación de los dictámenes y decisiones facilitados en la página web de la Agencia española.