Desde la entrada en aplicación del RGPD, el Delegado de Protección de Datos (en adelante, “DPO” por sus siglas en inglés) se ha erigido como una figura sumamente relevante para las organizaciones que lo han designado por estar obligados a ello, o bien de forma voluntaria.
Entidades públicas y privadas han tenido que adaptarse para dejar en las manos del DPO el papel de garante del cumplimiento de la normativa en materia de protección de datos, sin perjuicio de que la responsabilidad por el cumplimiento recaiga sobre el propio Responsable o el Encargado del Tratamiento.
Dada la importancia del rol que los DPO ocupan en el organigrama de las organizaciones, el Comité Europeo de Protección de Datos (en adelante, “CEPD”) decidió centrar sus investigaciones del año 2023 en la designación y posición de los DPO dentro de las organizaciones.
Estas investigaciones han tenido lugar en el contexto del Marco de Aplicación Coordinada, que forma parte de la estrategia orientada a coordinar la aplicación y cooperación entre las distintas autoridades de control.
Como resultado, en enero de este año 2024 se publicaron los hallazgos encontrados por 25 autoridades de protección de datos de los Estados Miembros, incluyendo la Agencia Española de Protección de Datos (en adelante, “AEPD”), que contribuyó con estadísticas basadas en las respuestas de más de 10.000 entidades del sector público y privado.
El informe publicado ofrece una imagen veraz de la situación actual en la que se encuentran los DPO dentro de sus respectivas organizaciones, y describe los desafíos actuales a los que éstos se enfrentan en el desempeño de sus labores. Asimismo, el CEPD ha publicado una serie de recomendaciones orientadas a solventar los desafíos identificados.
Por otra parte, en el informe también se incluyen las acciones que las distintas autoridades han puesto en marcha a la luz de estos resultados, así como guías y resoluciones llevadas a cabo.
A continuación, se analizarán los aspectos más relevantes de la investigación, elaborada a partir un cuestionario único que ha sido compartido entre las diferentes autoridades de control.
Los 5 principales desafíos
1. Ausencia de un DPO
En primer lugar, se ha detectado que, a pesar de que el RGPD entró en vigor hace ya más de 5 años, todavía existen organizaciones ubicadas en los Estados Miembros que no han designado a un DPO pese a estar obligadas a ello.
En este aspecto, el CEPD recomienda a las autoridades de control realizar campañas de sensibilización sobre la necesidad de designar a un DPO, o emitir guías en esta materia.
En consecuencia, a pesar de que no figura en el informe, consideramos recomendable documentar la correspondiente evaluación sobre la necesidad de disponer de esta figura dentro de la organización para poder, en su caso, acreditar la diligencia debida.
2. Falta de recursos para el DPO
A pesar de que el Artículo 38, apartado 2, del RGPD dispone que los Responsables y Encargados del Tratamiento deben proveer de los recursos necesarios a los DPO para el correcto ejercicio de sus funciones, los resultados de la investigación evidencian que esta provisión no siempre se lleva a cabo. De hecho, no son pocas las autoridades de control que han expresado que este es un problema relativamente generalizado.
A mayor abundamiento, se ha detectado que existe una falta de capital humano, sobre todo en aquellos cargos o posiciones cuyas tareas consisten en apoyar al DPO principal. A su vez, esto tiene una serie de repercusiones negativas en las organizaciones, ya que se espera que los DPO asuman una carga de trabajo superior a la que son capaces de gestionar, y existe un riesgo de incumplimiento del RGPD cuando el DPO se encuentra ausente.
Para estos casos, el CEPD recomienda a las autoridades llevar a cabo iniciativas para incentivar y sensibilizar a los órganos de administración de las organizaciones, con el objetivo de que
dediquen más recursos a esta figura. Asimismo, también se sugiere a los Responsables y Encargados del Tratamiento que realicen un análisis detallado de la cantidad de recursos que deben ser asignados.
Profundizando más en este último punto, puede ser útil para las organizaciones adoptar un Modelo de Gobierno de la Privacidad donde se establezca una estructura clara en lo que a privacidad y protección de datos se refiere, en el que se definan las partes que van a estar involucradas en la gestión de todas las actividades relacionadas con la privacidad y cumplimiento del RGPD, como el propio DPO y un equipo de apoyo al mismo. De esta manera, se tendrá una visión clara del capital humano que se necesita y de la cantidad de recursos que se deberán asignar a esta partida.
3. Falta de conocimiento y experiencia
Otra deficiencia detectada ha sido la falta de conocimiento de los DPO a la hora de asumir esta posición y la posterior ausencia de formación proporcionada a éstos una vez asumido el cargo.
Esta falta de aptitud para el cargo es de especial relevancia, puesto que el ámbito de la privacidad es un sector que está experimentando un vertiginoso desarrollo y donde cada vez son más las leyes y materias que el DPO debe dominar, como el futuro Reglamento de IA, y los ya aplicables Reglamentos de Servicios y Mercados Digitales, Reglamento de Gobernanza de Datos y Reglamento de Datos.
Por ende, y para cumplir con lo establecido por el artículo 37, apartado 5, del RGPD, el CEPD aconseja de forma general que se documenten y proporcionen las suficientes oportunidades, tiempo y recursos para mantener actualizados los conocimientos y habilidades del personal a cargo de los asuntos relacionados con la privacidad.
En esta línea, y a la vista de la emergencia de nuevas normativas aprobadas por la Comisión Europea en el ámbito digital, también es recomendable para las organizaciones recurrir a terceros especializados con las habilidades técnicas requeridas para que puedan dar soporte al DPO y garanticen el cumplimiento de estos nuevos Reglamentos.
4. Papel secundario del DPO dentro de la organización
De la investigación llevada a cabo por las autoridades, se ha constatado que algunas de las organizaciones analizadas no asignan las responsabilidades suficientes a sus DPO. Asimismo, también se observa que existen inconsistencias respecto del rol que ocupa en la práctica esta figura y en ocasiones no existe la comunicación necesaria entre el DPO y la dirección de las organizaciones que el RGPD exige.
En primer lugar, esto se puede deber, o bien (1) a que las organizaciones no han definido formalmente cuáles han de ser las funciones que debe llevar a cabo un DPO, o bien (2) a que existe una falta de entendimiento o comprensión sobre el papel que debe ocupar un DPO dentro de una organización.
En segundo lugar, las autoridades también concluyen que en ocasiones no se consulta al DPO en aspectos de protección de datos que son de su competencia, lo que dificulta a éstos el ejercicio de sus funciones y afecta negativamente al soporte que éstos pueden prestar a los Responsables del Tratamiento en el cumplimiento de las obligaciones dispuestas por el RGPD.
Para solucionar este conflicto, y más allá de las iniciativas de sensibilización que propone el CEPD, puede ser útil para las organizaciones realizar acciones concretas encaminadas a definir el rol del DPO y sus funciones dentro de la Compañía, tales como la elaboración de un Estatuto del DPO, o iniciativas más generales como la comentada en una sección previa, relativa a la elaboración de un Modelo de Gobierno de la Privacidad.
5. Conflicto de intereses y falta de independencia del DPO
Por último, el CEPD observa que el DPO normalmente desempeña otras funciones y cometidos que pueden conllevar la falta de independencia que se les exige respecto del Responsable o Encargado del Tratamiento. En esta línea, éstos últimos deben ser quienes garanticen que las funciones y cometidos del DPO no den lugar a un conflicto de intereses, como el que puede generarse cuando los DPO ocupan cargos de dirección.
Sin perjuicio de lo anterior, también ha quedado evidenciado a través de la investigación que a una cantidad notable de DPO se les encomiendan tareas que resultan contradictorias y les obligan a ejercer simultáneamente varios roles. Esto provoca que aquellas tareas necesarias para cumplir con la normativa de protección de datos queden relegadas a un segundo lugar.
En este aspecto también influyen las órdenes que el DPO pueda recibir de sus superiores. Cabe destacar que la dirección de una empresa u organización no puede instruir a éstos sobre cómo deben llevar a cabo sus tareas y funciones, ya que de ser así, y en línea con lo comentado anteriormente, tal figura no gozaría de la independencia que la normativa de protección de datos le exige.
Para solventar esta problemática, se recomienda en el informe que las organizaciones formalicen y documenten las condiciones bajo las cuales el DPO deberá llevar a cabo sus funciones. Además, se anima a las partes involucradas a que recojan evidencia en aquellos casos donde se producen injerencias en la autonomía e independencia de la que debe gozar un DPO.
Finalmente, y para evitar estos conflictos, también puede ser útil para las organizaciones externalizar los servicios de DPO, de tal manera que el riesgo de que se produzca un conflicto de intereses o falta de independencia se reduzca notablemente.
Conclusiones
A la luz de los resultados obtenidos en la investigación, las autoridades de control de los respectivos países han identificado la necesidad de proporcionar a los actores involucrados en la privacidad y protección de datos con materiales formativos, guías y herramientas para que los DPO sean más eficientes en el ejercicio de sus funciones y ayuden de forma más efectiva a sus organizaciones en el cumplimiento de las obligaciones establecidas por la normativa de protección de datos.
Por otra parte, y en relación con los desafíos que se han descrito, se observa que la mayoría de veces sus causas y consecuencias se encuentran estrechamente relacionadas. Un ejemplo que ilustra esta afirmación podría observarse cuando a un DPO no se le asignan los recursos suficientes, lo que a su vez le puede llevar a ejercer tareas que poco tienen que ver con el RGPD y que pueden desembocar en un conflicto de intereses.
Sin perjuicio de lo anterior, y a pesar de los problemas identificados y descritos en el informe, los resultados de la investigación se pueden considerar como positivos. El hecho de que existan organizaciones que no se encuentren al corriente de sus obligaciones en materia de protección de datos, no quita que desde que se introdujo la figura del DPO en el RGPD se hayan producido grandes avances en esta materia.
En un sector que se encuentra en constante cambio, y donde cada vez son más los DPO que están adoptando roles nuevos, como la consulta de temas relacionados con la Inteligencia Artificial, los resultados demuestran la necesidad de continuar impulsando la sensibilización en este campo, tarea que requerirá de la participación de todos los actores involucrados.