¿Debo designar un Delegado de Protección de Datos? ¿Quién puede ser nombrado Delegado de Protección de Datos? Estas cuestiones han sido planteadas por muchas entidades, antes, e incluso después, de que el Reglamento Europeo de Protección de Datos (en adelante RGPD) comenzase a ser plenamente aplicable desde el 25 de mayo de 2018.
Como ya hemos comentado en otras ocasiones, si bien la práctica de la designación de esta figura se ha desarrollado en varios Estados miembros a lo largo de los años, el Delegado de Protección de Datos (DPD) /Data Protection Officer (DPO) ha sido desde el primer momento una de las figuras más destacadas del RGPD, cuyos aspectos más importantes ya hemos tenido ocasión de examinar en este Blog, (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).
Asimismo, conforme evoluciona la normativa europea y la misma adquiere madurez, empiezan a plantearse nuevas cuestiones, respecto de las cuales la Agencia Española de Protección de Datos (en adelante AEPD) comienza a pronunciarse a través de publicación de Informes, como a finales del año 2018 lo hizo en el Informe Jurídico que analiza la posible compatibilidad entre el DPO y el responsable de seguridad del Esquema Nacional de Seguridad (en adelante Responsable de Seguridad ENS), y que será objeto de análisis en el presente artículo.
¿En qué sentido se ha pronunciado la Agencia en este Informe?
Con carácter previo a identificar cuáles son las principales diferencias que existen entre ambas figuras, la AEPD parte de la base de que las mismas pertenecen a dos ámbitos de actuación diferentes: la seguridad de la información y el de la protección de datos de carácter personal.
— La seguridad de la información comprende el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para cualquier organización, independientemente del formato que tengan.
En el ámbito de las Administraciones Públicas, es la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que establecía el mandato de creación de un Esquema Nacional de Seguridad (ENS), con la participación de las Administraciones Públicas, siendo este aprobado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante RD 3/2010).
El Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
El propio RD 3/2010 establece en su artículo 10 la existencia de tres figuras diferenciadas que forman parte del ENS:
- Responsable de la información → Determinará los requisitos de la información tratada.
- Responsable del servicio→ Determinará los requisitos de los servicios prestados.
- Responsable de seguridad→ Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
— La protección de datos de carácter personal se configura como un auténtico derecho fundamental reconocido como tal en el art. 18.4 de la Constitución Española, conforme al cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y que actualmente se encuentra regulado en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Así, la seguridad de la información se sitúa entre el conjunto de los principios, derechos, obligaciones y estructura organizativa de ambas normas, como una de las obligaciones atribuidas a responsables y encargados del tratamiento.
Presentada la diferencia existente entre los ámbitos de la seguridad de la información y de la protección de datos de carácter personal, la AEPD comienza el análisis de las razones que fundamentan su criterio.
¿En que se diferencian el Delegado de Protección de Datos y el Responsable de Seguridad del ENS?
Delegado de Protección de Datos | Responsable Seguridad ENS | |
Principio de Independencia del DPO | Principio de independencia más restrictivo que el Responsable de Seguridad ENS (Art. 38 RGP).No puede recibir instruciones de responsable o encargado del tratamiento. | El responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.Puede recibir instrucciones del responsable de la información. |
Funciones | Informar y asesorar al responsable, supervisa el cumplimiento.Realizar labores de concienciación y formación del personal implicado en los tratamientos de datos personales.Garantizar los derechos y libertades de los interesados/afectados. | Proporcionar directrices encaminadas a garantizar la seguridad de la información, sean datos personales o simplemente información de las Administraciones Públicas. Garantizar la seguridad de la información. |
Ámbito de actuación realización análisis de riesgos | Actividades de análisis de riesgo necesarias para llevar a cabo Evaluaciones de Impacto en Protección de Datos para determinar los riesgos de un tratamiento para los derechos y libertades de las personas. | Actividades de análisis de riesgos realizadas para determinar las medidas de seguridad para paliar los riesgos de la seguridad de la información. |
Conflicto de intereses | El DPD debe supervisar la labor que realiza el Responsable de Seguridad ENS en sus tres vertientes: información, servicio y seguridad. | El Responsable de Seguridad ENS tiene atribuidas responsabilidades directas en cuanto a la determinación de las decisiones necesarias para satisfacer los requisitos de seguridad de la información y de los servicios. |
De todo lo expuesto, la AEPD determina que con carácter general el cargo de Delegado de Protección de Datos regulado en el RGPD y el de Responsable de Seguridad ENS, no pueden recaer en la misma persona u órgano colegiado.
Sin embargo, la autoridad de control española concluye su Informe con una excepción, conforme a la cual, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar la separación de estas figuras, sería admisible la designación como DPD de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD. En este caso, resultaría imprescindible adoptar las medidas organizativas, reflejadas en su Política de seguridad de la información, que garanticen la necesaria independencia y la ausencia de conflicto de intereses.
En todo caso, esta circunstancia excepcional, debe ser evaluada caso por caso, siendo preciso, además, documentar tal designación especificando los motivos de la misma, así como las medidas que garantizan la necesaria independencia del delegado de protección de datos.
Por último, nos preguntamos si la AEPD se pronunciará en el futuro acerca de las posibles incompatibilidades del DPO con otras figuras existentes en el ámbito privado, como ya lo hizo el Instituto Nacional de Ciberseguridad (en adelante INCIBE), en el artículo publicado en julio del 2018 en su Blog.
En esta publicación, el INCIBE analiza cuáles son las funciones de los distintos roles que intervienen en el ámbito de la ciberseguridad y la privacidad, centrándose en:
— CDO (Chief Data Officer) – Responsable de los Datos, figura que se perfila en la norma BCBS 239, una norma de supervisión bancaria sobre agregación de datos e informes sobre riesgos.
— CISO (Chief Information Security Officer) – Responsable de la Seguridad de la Información conforme a la ISO 27001, asumiendo también responsabilidades sobre la privacidad, que incluyen tareas organizativas y técnicas.
— DPO – Responsable de Privacidad.
Así, el INCIBE expone que, si bien estas tres figuras actúan desde perspectivas diferentes, se encuentran próximas en sus funciones, por lo que han de coordinarse y colaborar estrechamente para garantizar el cumplimiento del RGPD, prevenir incidentes que afecten a la privacidad y atajar el impacto que puedan tener en caso de que ocurran.
A criterio de este organismo, el CISO o CDO podría ser también DPO, siempre y cuando este no intervenga en la determinación de los fines y medios del tratamiento, implementando en todo caso las garantías de ausencia de conflicto de intereses.
Vemos aquí una evidente similitud entre este pronunciamiento y la excepción que la AEPD aplica a la incompatibilidad existente entre DPO y Responsable de Seguridad ENS, toda vez que en este caso el INCIBE también recomienda elaborar un documento en el que las entidades especifiquen cómo se garantizará la independencia del DPO y la ausencia de conflicto de intereses.
Por el contrario, si el DPO se designa como figura independiente, el CISO y el CDO podrán descargar la responsabilidad de supervisión y asesoramiento sobre el RGPD en esta persona. En este caso, al no ser desempeñadas las funciones de DPO junto con otras funciones, resultará más sencillo demostrar la ausencia de conflicto de intereses.