Una semana más, continuamos analizando el Reglamento General de Protección de Datos (RGPD) para hablar de la posición del Data Protection Officer (DPO)/ Delegado de Proteción de Datos(DPD) en las organizaciones de responsables y encargados de tratamiento.
El art. 38 del RGPD estipula que el responsable y el encargado del tratamiento deberán garantizar que el DPD “se involucre de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos”.
Es fundamental que el DPD participe de forma temprana en todas las cuestiones relacionadas con la protección de datos. En este sentido, el GT29 considera que consultar y mantener informado al DPD facilitará el cumplimiento efectivo del Reglamento, asegurando al mismo tiempo un enfoque de privacidad desde el diseño.
Además, el Grupo de Trabajo del artículo 29 (GT29) recomienda que las organizaciones garanticen, entre otras cuestiones las siguientes:
– La participación del DPD en reuniones con los cuadros directivos altos y medios.
– Que el DPD esté presente en la toma de decisiones que afecten e impliquen a la protección de datos.
– Dar la consideración debida a la opinión del DPD.
En la práctica, responsable y encargado del tratamiento deben respaldar al DPD en el desempeño de las funciones que el art. 39 le atribuye, y que analizaremos en el artículo de la próxima semana, proporcionándole los recursos necesarios para el desempeño de dichas funciones, así como el acceso a los datos personales y a las operaciones de tratamiento.
¿Cómo pueden facilitarse esos recursos al DPD?
Siguiendo el criterio del GT29, responsables y encargados de tratamiento deben tener en cuenta los siguientes aspectos para respaldar al DPD y proporcionarle los recursos necesarios:
– Apoyo activo de la alta dirección a la función del DPD. Es necesario que el DPD rinda cuentas directamente al más alto nivel jerárquico de responsable o encargado.
– Tiempo suficiente para que el DPD cumpla con sus obligaciones.
– Apoyo adecuado en cuanto a recursos económicos, infraestructura y personal donde sea pertinente.
– Comunicación oficial de la designación del DPD a todo el personal.
– Acceso necesario a otros servicios dentro de la organización, como por ejemplo recursos humanos, o departamento jurídico.
– Formación continua con el objetivo de mantenerse al corriente de todos los avances que se den en el ámbito de la protección de datos.
Por otro lado, como indica el art. 38.6 RGPD, está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial. En este último caso, es necesario evitar que existan conflictos de intereses. Tal y como indica el GT29 como regla general, las posiciones en conflicto pueden incluir puestos de alta dirección (tales como jefe ejecutivo, jefe de operaciones, jefe de finanzas o jefe de departamentos de TI), pero también otras funciones inferiores.
Por último, y en aras de reforzar la autonomía de los DPD, y garantizar que actúen con independencia, el art. 38.3 exige que los DPD no deben ser destituidos ni sancionados por el responsable o el encargado del tratamiento por llevar a cabo sus funciones