Icono del sitio LexGoApp Blog

Delegados de Protección de Datos. Dónde colocarlos en tu empresa // José Enrique Pérez Palaci

¿Externo o Interno: Dónde coloco al Delegado de Protección de Datos en mi empresa?

 

Dos visiones, dos modos de ver una misma figura, si bien ambas encaminadas a un mismo objetivo: la designación de un Delegado de Protección de Datos (DPP o DPO) interno o externo es una de las decisiones a tomar por el responsable y el encargado del tratamiento de los datos personales, pudiendo en su caso, formar parte de la plantilla o desempeñar las funciones en el marco de un contrato de servicios (Artículo 37 del RGPD).

Y es en esa decisión que tanto el responsable como el encargado del tratamiento deben de evaluar, primero, si en la propia empresa, asociación, fundación u otros organismos alguno de los empleados (sea directivo de primer o segundo nivel) tiene las capacidades necesarias para cumplir debidamente con los requisitos que recoge el Artículo 37.5 del RGPD, y si puede o no cumplir con sus funciones y las funciones que ya previamente tenía asignadas.

Hay que darse cuenta que además es importante señalar la  independencia intrínseca del DPP (debe rendir cuentas al más alto nivel jerárquico, y no puede ser ni destituido ni sancionado por ejercer sus funciones, claramente si no actuare con negligencia probada), de los recursos que deben destinarse para el desempeño de su función, y el mantenimiento de sus conocimientos, en definitiva continua y periódica inversión en recursos materiales y humanos para el buen hacer de las funciones a desempeñar por el DPP.

Por tanto, uno de los primeros planteamientos a tomar por el órgano de gobierno es si el DPP debe ser interno o externo; y para el caso de que se decante por la primera opción, a quién designar, decisión que tiene que tener en cuenta que la persona y el departamento correspondiente (en su caso) debe de gozar de autonomía, independencia, objetividad e integridad, como requisitos para la eficacia del cumplimiento de los tratamientos de datos con el RGPD.

En esa decisión deben de prevalecer y tenerse en cuenta, entre otro, sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD, que se resume en los verbos cooperar, informar, asesorar, supervisar y gestionar.

El marco de referencia actual es el RGPD, el cual no se pronuncia expresa y directamente en la cuestión objeto de debate, por lo que nada se opone a que el órgano de gobierno, entre la disyuntiva, elija externalizar.

Por otro lado, y estando a cuanto dispone el Artículo 38.6 del RGPD, el DPP puede desempeñar otras funciones; de ahí, que quepa, desde la estrategia empresarial y la reducción de costes, designar como DPP al que también ejerce las funciones de ComplianceOfficer, y es que tanto una figura como otra deben de gozar de autonomía, independencia, objetividad e integridad y rendir cuentas al Consejo de Administración, o al más alto nivel jerárquico del organigrama.

No podemos olvidar que ambos sistemas (la protección de datos, y el cumplimiento normativo) están interrelacionados y tienen como  denominador común que deben adecuarse, revisarse y actualizarse a los cambios normativos, estructurales y a las actividades que desarrolle la empresa.

La independencia del DPP y ComplianceOfficeres la clave para la finalidad de sus funciones y el órgano de gobierno, el responsable y el encargado del tratamiento (en el caso de la protección de datos) deben garantizar eficazmente esa efectividad, por lo que es deber de éstos evaluar la confiabilidad de las funciones en un poder autónomo no sujeto a dudas e, injerencias,

Se trata de evitar que en caso contrario, serán tanto el ComplianceOfficer como el DPP meras figuras ineficaces y convidados de piedra en el sistema de gestión de la protección de datos y de la Compliance. Formalismos frente a Eficacia.

En conclusión: El hecho de la externalización facilita el cumplimiento real y material y confiere independencia y autonomía, garantizando, de ese modo, que la alta dirección y el propio órgano de gobierno no interfieran en la aplicabilidad, y aleja el temor a represalias o presiones comerciales, personales o laborales; a interferencias e injerencias por la influencia del grupo; a la dependencia emocional por sus relaciones interpersonales; al posible conflicto de intereses y la carga de trabajo (si debe compatibilizar con otras actividades).

El cumplimiento de la normativa será más efectivo desde la distancia de la externalización de la gestión de las actividades a adoptar, implementar, mantener y mejorar para evaluar, prevenir, detectar y gestionar los riesgos en el tratamiento de los datos personales, y los riesgos penales ante la presunta comisión de delitos o incumplimientos normativos internos y/o externos.

 

Por José Enrique Pérez Palaci  @prolexblanes
Abogado – Colegiado 2453 Ilustre Colegio de Abogados de Girona
Especialista en protección de datos porAENOR
Integrante del equipo de Salud, Ética y Compliance(SEC)
Salir de la versión móvil