En abril de 2024, la Directora de la Agencia Española de Protección de Datos (AEPD) dictó resolución en el expediente sancionador incoado contra la Secretaría de Estado de Seguridad por infracción de los artículos 20, 35 y 41 de la Ley Orgánica 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Entre las medidas correctivas que impone la resolución a la Secretaría de Estado citada, se encuentran las destinadas a garantizar la autonomía e independencia del Delegado de Protección de Datos (DPD), con el fin de evitar cualquier situación que le pueda originar un conflicto de intereses de esta figura. Contra esta resolución el organismo sancionado interpuso Recurso de Reposición.
Alegaciones de la recurrente
Se plantea la nulidad de pleno derecho de la resolución sancionadora por entender que el responsable no debería ser la Secretaria de Estado de Seguridad, sino el titular de la Dirección General de Coordinación y Estudios. Frente a dicho argumento la AEPD sostiene que en el RAT figura claramente que el responsable del sistema VioGen, objeto del procedimiento, es la Secretaría de Estado de Seguridad, que durante el transcurso del procedimiento sancionador todas las comunicaciones se dirigieron a la Secretaría de Estado de Seguridad, así como que no se planteó ninguna objeción al respecto hasta la interposición del recurso de reposición, así como que es la Secretaría quien, como Responsable del Tratamiento, supervisa y coordina las políticas de seguridad.
Se plantean seguidamente otras alegaciones para el resto de infracciones atribuidas, entre ellas, la justificación de no realización de una evaluación de impacto en la protección de datos (debido a la novedad y evolución constante de la normativa de protección de datos, o por entender prescrita la obligación), y finalmente la alegación quinta que es la que hoy nos ocupa, relativa a la presunta infracción atribuida por falta de Independencia del DPD, junto con la de falta de información formal de la notificación.
Independencia del DPD
En el procedimiento sancionador se atribuye al recurrente una infracción del artículo 41 de la Ley 7/2021 relativa a la existencia de un conflicto de intereses por haber presentado alegaciones el DPD y no el Responsable del Tratamiento, infracción ésta que, según el Responsable, no le fue notificada formalmente, por lo que, en cualquier caso, carecía de conocimiento previo de la misma.
El articulo 41 de la Ley 7/2021 que se reputa infringido, al igual que el artículo 36.2 de la LOPDGDD, establece que “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitar cualquier conflicto de intereses”.
En su defensa, la recurrente manifiesta que el DPD actuó como punto de contacto con la AEPD con motivo de la necesidad de utilizar un certificado de representación para poder acceder a la Dirección Electrónica Habilitada única (DEHU) y así poder remitir documentos, y que la conducta infractora se basa únicamente en que el DPD firmó el escrito de alegaciones, lo cual no afecta a su independencia, ni indica un conflicto de intereses. Añade que el Responsable del Tratamiento solicitó informes y actuó con el asesoramiento del DPD, quien remitió las comunicaciones a la AEPD.
Pronunciamiento de la AEPD
Frente a dichas alegaciones, el pasado 14 de junio de 2024, la AEPD resuelve el recurso indicando que el DPD no actuó como mero punto de contacto o transmisor de las alegaciones del responsable del tratamiento, entre otras cuestiones, porque cada página del escrito de alegaciones está encabezada con el membrete: “Área de Normativa y Protección de Datos, Delegado de Protección de Datos”.
De igual manera, la AEPD sostiene que el Responsable del Tratamiento también dispone de la autoridad y la capacidad legal para gestionar las comunicaciones con la AEPD. “La delegación de funciones administrativas para la gestión de estas comunicaciones no justifica que el DPD asuma roles que podrían comprometer su independencia y provocar un conflicto de intereses, especialmente en procedimientos sancionadores donde es crucial garantizar su imparcialidad”.
Añade que “La normativa de protección de datos y la estructura organizativa definen con claridad las funciones y responsabilidades del y del Responsable del Tratamiento. El hecho de que el DPD haya presentado las alegaciones, firmado el documento y se identificara como el autor de las alegaciones, sugiere un conflicto de intereses y una falta de independencia en el desempeño de sus funciones. No se trata de un simple error procedimental, sino una infracción sustantiva que compromete la independencia y la integridad del DPD”.
Para la AEPD, agrava la situación el hecho de que el DPD no solo presentó y firmó las alegaciones, sino que lo hizo en nombre del Responsable del Tratamiento, con un carácter exculpatorio. Para la AEPD, en esta dualidad de roles, asesorar e informar al Responsable del Tratamiento al tiempo que actúa en su defensa, es donde radica el conflicto de intereses.
En nuestra opinión, sin perjuicio de que en este caso parece que el DPD realmente actuó en nombre y representación del Responsable del Tratamiento, la cuestión radica en la interpretación que debe hacerse de la actuación del DPD como interlocutor frente a la AEPD, pues muchas veces la presentación de alegaciones o la respuesta a un requerimiento de la autoridad de control se formaliza a través del DPD, en su condición de DPD, mientras que la redacción del escrito de alegaciones y los argumentos esgrimidos son elaborados por o bajo la dirección letrada del responsable jurídico interno de la organización del Responsable del tratamiento, o incluso por un despacho de abogados que actúa como asesor externo.
Pronunciamientos anteriores
Es necesario destacar que esta no es la primera vez que las autoridades de protección de datos resuelven sobre esta cuestión.
La propia AEPD ya se pronunció sobre la compatibilidad entre el cargo de responsable de seguridad y el de DPD en respuesta a una consulta, y concluyó que las funciones inherentes al rol de responsable de seguridad comprometen la independencia requerida para el DPD y, por ende, declaró la incompatibilidad entre ambos cargos.
Asimismo, la Autoridad Italiana de Protección de Datos (Il Garante) ha señalado que conferir al DPD poderes de representación de la entidad en procedimientos judiciales podría generar un conflicto de intereses. Sin perjuicio de lo anterior, quizás el pronunciamiento más relevante en esta materia fue el del TJUE (analizado en anteriores Breves Regulación Digital), y que estableció que no existe incompatibilidad entre el cargo del DPD y la realización de otras funciones dentro del seno del Responsable. Será el Responsable o Encargado, la parte que deberá asegurar que las otras funciones encomendadas no impliquen un conflicto de interés.
En todo caso, no se podrán encomendar al DPD funciones que le otorguen la potestad de determinar los fines y medios del tratamiento de datos personales.
En resumen
El análisis de los casos y pronunciamientos sobre el DPD revela una preocupación central en la gestión de conflictos de intereses y la independencia de esta figura clave en la protección de datos.
En conjunto, estos precedentes y recomendaciones apuntan a una clara directriz: la independencia del DPD es un principio fundamental que debe ser protegido a toda costa. Las organizaciones deben ser diligentes en evitar cualquier situación que pueda comprometer esta independencia, asegurando así una protección de datos efectiva y transparente.
En el horizonte la clave estará en hallar un equilibrio que permita al DPD cumplir con sus responsabilidades sin generar un conflicto de intereses.
La interlocución del DPD con la autoridad de control no supone que no haya habido intervención letrada o dirección jurídica en la redacción del escrito de alegaciones o de respuesta a un requerimiento de información.