El DPD y su importante labor

El DPD y su importante labor

El DPD o Delegado de Protección de Datos es ya una figura conocida por todos nosotros desde que en 2016 llegó el RGPD y de forma más regulada con el entrada en vigor de la LOPD-GDD, aunque hoy en día, el DPD necesita de mayor atención por nuestra parte, por ser verdaderamente importante para cualquier organización y pieza clave para cumplir con las obligaciones en materia de protección de datos.

La instauración de esta figura pudiera parecer sencilla, ya que la LOPD-GDD nos señala en qué casos es obligatoria su presencia, la posibilidad de designar un DPD de forma voluntaria, así como los requisitos que debe reunir la persona que desempeñe sus funciones, y las acciones que puede llevar a cabo.

Sin embargo, no es oro todo lo que reluce, ni todo es tan fácil de hacer como la ley señala.

Informe Europeo sobre el estado de los DPD

El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) en un reciente Informe, analizó la designación y situación de los DPD en entidades públicas y privadas a nivel europeo, siendo el objetivo principal de este análisis fomentar mejores prácticas, deficiencias y emitir recomendaciones para fortalecer esta figura.

Los puntos de atención sobre los que se realiza el análisis de la figura del DPD son los siguientes:

Ausencia de nombramiento del DPD aún y cuando es obligatorio:

El artículo 37.1 RGPD y 34.1 y 2 de la LOPD-GDD determinan que entidades deben designar a un DPD con carácter obligatorio, por tanto, lo primero es que todas las entidades analicen si tienen esta obligación, así como la posibilidad de nombrar al DPD de manera voluntaria, derivado de la importancia del reconocimiento de su valor como mediador entre las empresas, los trabajadores, clientes y sobre todo con AEPD y otras autoridades de control autonómicas.

Recursos insuficientes asignados a la labor que desempeñan los DPD:

Una de las características de los DPD es su independencia a la hora de desempeñar sus funciones, para que su labor sea transparente, de forma que los recursos que se le asignan deben ser los suficientes para poder actuar con independencia y con capacidad dependiendo de las características de cada empresa.

Esta capacidad de poder realizar sus funciones correctamente debe analizarse tanto si el DPD es interno, como si es externo, investigando que quién ofrezca los servicios de DPD tenga suficiente tiempo y personal para hacerlo.

Conocimientos especializados para desempeñar la función de DPD:

El artículo 37.5 del RGPD y el 35 LOPD-GDD determina las características profesionales y de experiencia que debe tener el DPD (persona física o jurídica) para cumplir con sus funciones (art. 39 del RGPD).

Como es lógico, esta figura corresponde a una función especializada en materia de protección de datos, por lo cual, quién desempeñe este cargo, ya sea interno o externo, deberá conocer ampliamente la normativa de protección de datos.

Asignación de funciones al Delegado:

El artículo 39 del RGPD señala las funciones mínimas que deberá realizar un DPD, pero se ha detectado que no siempre se le asignan todas las funciones que le corresponden por ley, de manera que se minimiza su potencial y la posibilidad de actuar en beneficio de la empresa.

Conflictos de interés e independencia de los DPD:

Atendiendo el artículo 38.3 RGPD y el 36.2 de la LOPD-GDD, si existe alguna razón por la cual el delegado no va a poder actuar de manera independiente o con la transparencia y autonomía deseadas, deberá de analizarse el nombramiento de otra persona para ocupar el cargo, pues que el DPD pueda realizar sus funciones de manera libre y sin coacción por parte de los directivos o altos cargos, es fundamental para que se cumpla el objetivo de su nombramiento.

Insuficiencia o falta de informes por parte del DPD a los niveles directivos:

Así como la independencia es crucial para un buen desempeño de las funciones asignadas al DPD , también lo es que se informe a los directivos o altos cargos del nivel de cumplimiento de las obligaciones de protección de datos en su empresa, además de informar de cualquier otra circunstancia relacionada con la protección de datos.

Más información para las autoridades de control:

Las autoridades de control AEPD en el caso de España) deben estar permanentemente informadas de cómo está funcionado esta figura para generar acciones que ayuden a empoderarla y demuestren su importancia.

Resultados del informe

Ante esta situación, la AEPD, quien ha participado en esta iniciativa coordinada por el Comité Europeo de Protección de Datos, analizó los datos de más de 10 mil entidades, tanto del sector público como del privado, siendo los sectores analizados en este último los correspondientes a educación, entidades bancarias y financieras, sanidad, sector energético, seguridad, servicios de telecomunicaciones, solvencia patrimonial y crédito, y actividades relacionadas con los juegos de azar y apuestas.

De dicho análisis, la AEPD reveló los siguientes datos:

Primero

El 86% de las entidades contratan a DPD externos, pero habría que investigar en cada caso si dicho DPD atiende correctamente las necesidades de todos sus clientes, pudiendo caer en el error de nombrar al delegado únicamente para cubrir el requisito legal y no tanto generar un compromiso firme para el respeto y garantía de los datos personales.

Segundo

Un 58% de los encuestados reflejan el nombramiento del DPD como permanente, siendo el resto variables, lo cual coincide con el nombramiento del DPD externo.

Tercero

En relación a la asignación de recursos al DPD , los resultados encuestados fueron positivos.

Cuarto

El DPD debe involucrarse más en los aspectos relacionados con la protección de datos en el desempeño real de sus funciones, circunstancia que pude depender de la asignación de tareas por parte de los directivos en la mayoría de las veces.

Conclusiones

El DPD es una figura importante que debe cobrar la relevancia que la propia ley le otorga, pues es un soporte fundamental para las empresas y trabajadores en el cumplimiento de sus obligaciones en materia de protección de datos.

Este es el motivo por el que es necesario concienciar a los responsables del tratamiento, así como a los encargados del tratamiento, que esta figura está presente como colaborador y sustento en el cumplimiento de las obligaciones, pero también se convierte en el nexo necesario con las autoridades de control para la gestión de las reclamaciones u otras cuestiones que favorecen a cualquier entidad.

Business Adapter® a tu servicio

Si necesitas un DPD , contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: