Volver

Incompatibilidades de la figura del Delegado de Protección de Datos: Sanción de 50.000 euros por nombrar al Responsable de Compliance, Auditoría y Riesgos como DPO.

Publicaciones
13-may-20

Hace unos días, la Autoridad Belga de Protección de Datos (DPA) dictaba una resolución en la que imponía una sanción de 50.000 euros a una compañía por incumplir el artículo 38 del Reglamento General de Protección de Datos 2016/679 (RGPD), relativo a la posición del Delegado de Protección de Datos (DPO, por sus siglas en inglés) y que establece, entre otras cuestiones, que:


 (i) El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

(ii) El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.

(iii) El delegado de protección de datos podrá desempeñar otras funcionesy cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses

Con base en este precepto, y tras una inspección a la compañía sancionada por detectarse una brecha de seguridad, la DPA entiende que existiría una incompatibilidad o conflicto de interés en el hecho de que una misma persona desempeñe el cargo de Responsable de Compliance o cumplimiento normativo, Auditoría interna y Gestión de riesgos de manera conjunta con sus funciones como DPO. En particular, la Autoridad Belga concluye lo siguiente y determina cómo ha quedado reflejado el conflicto de interés en este caso concreto:

(i) El DPO hace algo más que asesorar internamente a la compañía, ya que esa realiza tareas conflictivas en el seno la misma que entrañan una importante responsabilidad operativa en los procesos de tratamiento de datos que entran en el ámbito de la auditoría, el riesgo y el compliance.

(ii) La compañía no contaba con una política para prevenir los conflictos de interés.

(iii) El DPO deberá participar debida y oportunamente en todos los asuntos relativos a la protección de los datos personales. Al reducir la participación del DPO a la mera información (a posteriori) de una decisión, su función se ve mermada.

(iv) Es crucial que el DPO participe lo antes posible en todos los asuntos relacionados con la protección de datos.

(v) Existe una diferencia entre el mero análisis de los procesos y la evaluación del funcionamiento de los empleados a través de la auditoría interna, que está en desacuerdo con la posición de confianza que ocupa el DPO dentro de la empresa.

(vi) La independencia y la función de asesoramiento del departamento como tal no pueden transferirse simplemente a la persona que cumple simultáneamente la función de DPO y la función de director de un departamento.

(vii) Esta persona, en calidad de DPO, determina las finalidades y medios del tratamiento de los datos personales en esos tres departamentos y, por lo tanto, es responsable de los tratamientos de datos que corresponden al ámbito del cumplimiento, la gestión de riesgos y la auditoría interna. En este sentido, la "Directrices sobre los Delegados de Protección de Datos" del Comité Europeo de Protección de Datos (antiguo Grupo de Trabajo del Artículo 29) señala que el DPO no puede desarrollar ninguna función dentro de la compañía ocupando una posición en la que tenga que determinarlas finalidades y medios del tratamiento de los datos personales, siendo esto un conflicto de intereses esencial.

(viii) El papel de responsable del tratamiento de datos en un departamento es, por lo tanto, incompatible con la función de DPO, que debe ser capaz de realizar sus tareas de forma independiente.

(ix) La acumulación de la función de responsable del tratamiento para cada uno de los tres departamentos en cuestión, por una parte, y la función de DPO, por otra, sobre la base de la misma persona física, carece de toda posible supervisión independiente por parte del DPO para cada uno de estos tres departamentos.

(x) La acumulación de esas funciones puede dar lugar a una garantía insuficiente de secreto y confidencialidad entre los miembros de la plantilla de la compañía.

(xi) Es importante que el DPO pueda desempeñar sus tareas y obligaciones respetando el puesto que se le ha asignado en virtud del artículo 38 del RGPD, en particular que pueda actuar sin un conflicto de intereses.

(xii) No hay duda de que la acumulación de la función de DPO con una función como responsable de un departamento que será supervisado por el DPO no puede hacerse de manera independiente.

(xiii) Las salvaguardias ineficaces para la protección de los datos personales, en particular mediante el nombramiento de un DPO que no cumpla el requisito de independencia y, por lo tanto, no pueda actuar libre de todo conflicto de intereses, pueden repercutir en millones de interesados de los que se traten sus datos personales.  

Teniendo en cuenta los argumentos citados anteriormente, la DPA, aplicando resto de criterios (duración del incumplimiento, gravedad, etc.), impone una sanción administrativa a la compañía de 50.000 euros, por entender incumplido el artículo 38.6 del RGPD, y le exige revertir la situación e informar al organismo de los cambios realizados para solventar este incumplimiento antes del 31 de julio de 2020.

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-jul-24
Lululemon acusada de “greenwashing”
This is some text inside of a div block.
Leer más
25-jul-24
Meta desvela Llama 3.1, su modelo para competir contra OpenAI y Google
This is some text inside of a div block.
Leer más
25-jul-24
Huawei interpone acciones legales contra Mediatek por la tecnología 5G
This is some text inside of a div block.
Leer más