Posición de CEDPO sobre el DPO en el GDPR

Francisco Canalda     21/02/2017

Documento consensuado por los miembros de CEDPO en respuesta a la guía sobre el DPO publicada en diciembre de 2016  

¿Quién es CEPDO?
 

Traducción no oficial de la guia CEDPO sobre el DPO

• Las "actividades básicas" deben ser interpretadas de acuerdo con la descripción del propósito corporativo de la organización y los ingresos de la cuenta de resultados.
• "Gran escala" debe entenderse según un enfoque basado en el riesgo (en lugar de utilizar criterios como el número de empleados o el "volumen" de datos personales tratados en un determinado período de tiempo).
• "Seguimiento de la conducta" excluirá las actividades de monitoreo de TI que cualquier organización debe realizar en la actualidad para los fines de:
  • ciberseguridad;
  • protección de los sistemas y activos de la organización (incluidas la IP y la información confidencial, así como los datos personales almacenados o tratados por la organización); y
  • cumplir con las leyes y la orientación reglamentaria (por ejemplo, deberes de protección de datos, actividades antifraude y de lucha contra el blanqueo de capitales).

• En vista de las tareas que se confían al DPO, se requieren diferentes habilidades, incluidas las capacidades legales, técnicas, de programa y gestión de riesgos y comunicación. El DPO debe asegurarse de que sus funciones son en realidad realizadas por él mismo y/o por su equipo formado por profesionales de diferentes orígenes, incluyendo pero no limitado a individuos que poseen una licenciatura en leyes o ciencias de la computación. La organización que nombra a un DPO debe proporcionar al DPO recursos con estos diferentes orígenes.
• El GDPR exige que "el DPO sea designado sobre la base... del conocimiento experto de la ley de protección de datos...". La función DPO debe estar abierta a cualquier persona, cualquiera que sea su formación profesional o curricular, y que este requisito pueda ser satisfecho incluso por profesionales que no tienen un título de abogado. El texto no debe interpretarse de manera restrictiva; ya que de lo contrario, el riesgo es que los responsables y encargados del tratamiento consideren la contratación de abogados como DPO.

• El tamaño y las actividades de cada organización, así como su estado privado/público, determinarían si un DPO interno o externo es la decisión apropiada de vez en cuando.
• Hay casos en los que podría tener sentido compartir el mismo DPO externo, como las pequeñas organizaciones y organizaciones que se ocupan de actividades similares de tratamiento de datos.
• Los DPO externos pueden incluir entidades legales aunque la organización cliente pueda esperar cierta estabilidad, en la medida en que sea compatible con las leyes locales, en relación con la persona real que asume en última instancia las tareas de DPO subcontratados.
• La elección entre un DPO interno o externo no estará influenciada por la protección del empleo de los DPO internos.

• De nuevo, el tamaño y las actividades de cada organización deben determinar la estructura del DPO más adecuada. Tanto si la solución elegida es un DPO interno, pero a tiempo parcial, así como un DPO externo, habría que establecer salvaguardias específicas para detectar y avanzar soluciones alternativas si surge un conflicto de intereses.
• La independencia del DPO no se interpretará para convertir al DPO en un:
  • "mini-DPA";
  • la organización del CEO; o
  • el representante de los interesados.
• La independencia del DPO será garantizada con un DPO con integridad y lealtad. De la misma manera, su relación con la organización debe ser confiada a la "potestas" apropiada (que requiere una posición apropiada patrocinada por los órganos de decisión de la organización, línea de información funcional y recursos). El DPO debe tener una línea de reporte directo a la Junta o a un Miembro de la Junta - u organismo equivalente - de la organización con respecto a sus responsabilidades de DPO.
• Las obligaciones de confidencialidad del DPO con la organización que lo nombró deben ser aclaradas para asegurar que
  • la lealtad del DPO a su empleador (si es interno) o a su cliente (si es externo) no se ve comprometida; y
  • se mantiene su adecuada integración con la organización como un "consejero de confianza".
• Los riesgos de conflicto de intereses pueden verse al posicionar al DPO en los departamentos de Seguridad, TI, RRHH u otros departamentos que toman decisiones sobre las actividades de tratamiento.

• El Art. 38 (3) estipula que el DPO informará directamente al nivel más alto de gestión del responsable o encargado del tratamiento. Esta demanda refuerza la autonomía y la importancia de los DPOs y requiere que la organización del responsable o encargado vincule los DPO al nivel más alto de gestión (como a la Junta o a un miembro del Consejo). Por ejemplo, la estructura organizativa debe garantizar que:
  • El DPO tiene acceso directo y sin filtro a la alta dirección y no hay un nivel intermedio entre el DPO y la alta dirección. Esto ayuda a garantizar que los DPO no tengan ningún conflicto de intereses con respecto a su función como DPO y, por lo tanto, gozan de suficiente protección en el desempeño de sus tareas.
  • El respectivo Consejo o Miembro de la Junta actúa como supervisor funcional y administrativo del DPO con responsabilidades sobre todas las cuestiones de personal y presupuesto del DPO.
  • Se puede identificar claramente la línea de reporte del DPO a la alta dirección (por ejemplo, en un organigrama).

• La ubicación física específica de los DPOs del grupo o DPOs de una misma organización con varios establecimientos parece ser irrelevante hoy en día. Su accesibilidad, una participación empresarial apropiada y una buena "red" local (por ejemplo, los enlaces locales de privacidad), serían los elementos clave a tener en cuenta para asegurar una protección efectiva.
• La accesibilidad del DPO no depende necesariamente únicamente de sus propias habilidades, sino de la combinación de sus habilidades y las de su "red" local, por ejemplo, las relaciones locales de privacidad para garantizar el conocimiento jurídico y lingüístico local adecuado cuando necesario. El WP29 recomienda que, con el fin de garantizar la accesibilidad, "la comunicación tenga lugar en la lengua o lenguas de las autoridades de supervisión y de los interesados". Esta recomendación puede plantear problemas prácticos si no se precisa más. El GDPR no puede esperar que cualquier DPO del Grupo exprese las 24 lenguas de la UE de cada establecimiento de la UE de su grupo. Por lo tanto, sugerimos agregar que no se requiere que el propio DPO hable los idiomas de todos los países donde el responsable/encargado del tratamiento está establecido pero que en la práctica esta necesidad puede ser satisfecha mediante traducciones de documentos/medios, recurrir a contactos locales que ayudan al DPO. El GDPR es otro ejemplo de cómo se construye el mercado interior de la UE y no debería imponer ninguna restricción a la libertad de circulación de los profesionales y servicios de los DPO dentro de la UE. El requisito del idioma(s) no debe ser un obstáculo para la construcción de la UE.

• El DPO no debería tener una responsabilidad individual por un tratamiento bajo el GDPR: la organización es la responsable de cualquier incumplimiento. La organización puede decidir tomar acciones, de acuerdo con la ley local, contra un DPO negligente, como ocurriría con cualquier otro empleado o contratista que pueda ser responsable en última instancia de los daños que la organización ha sufrido (por ejemplo, multas administrativas, prohibiciones de tratamiento, etc.).

• Registro de las actividades del tratamiento. El DPO asesora sobre la estructura del registro requerido de las actividades del tratamiento, así como sobre las reglas de mantenimiento de registros. A continuación, el DPO verifica de vez en cuando la integridad y exactitud del registro (deber de supervisión) y da instrucciones al responsable del tratamiento, respectivamente a varios departamentos para corregir lo que es incorrecto.
• El GDPR dispone que el expediente deberá ser cumplimentado por el responsable del tratamiento o por su representante (artículo 30). El DPO puede entonces ser el encargado para mantener el registro como representante del responsable. Esto no es un caso de conflicto de intereses.
• DPIA: Las evaluaciones de impacto son llevadas a cabo por el responsable del tratamiento. El DPO aconseja al responsable del tratamiento la obligación u oportunidad de llevar a cabo un DPIA. A continuación, el DPO proporciona su opinión sobre la pertinencia del análisis de riesgos realizado. Una vez que se han mitigado los riesgos, el DPO emite un dictamen sobre las medidas de mitigación para analizar la posibilidad de mitigar los riesgos potenciales restantes.
• Una de las tareas del DPO que podría agregarse como recomendación y que es una buena práctica de rendición de cuentas es la elaboración de un informe anual proporcionado al más alto nivel de gestión.

• Los DPO deben tener la oportunidad de mantenerse actualizados respecto a los desarrollos relacionados con la protección de datos en el sentido más amplio del término, incluyendo actualizaciones de reglamentos, nuevas tecnologías, asuntos internacionales, técnicas de auditoría... El nivel de experiencia de los DPO tiene que incrementarse constantemente participando en cursos de formación sobre protección de datos y otras formas de desarrollo profesional, como la participación en foros de privacidad, talleres, etc. El WP29 debería dejar claro que este tipo de desarrollo profesional continuo por parte de los DPO es en realidad un requisito implícito obligatorio de conformidad con el Art. 37 (5) y Art. 38 (2). Además, para cumplir con el espíritu del Art. 5 (2) para la rendición de cuentas, los DPO deben poder demostrar la evidencia de su desarrollo profesional continuo.

• Las organizaciones deben ser capaces de proporcionar datos de contacto genéricos como dpo@company.com. La organización debe ser capaz de decidir el nivel de información que debe proporcionarse para asegurar una comunicación fluida con las partes interesadas externas (incluyendo pero no limitado a los interesados) y el respeto a la privacidad del DPO.
• Podemos sugerir el siguiente texto: "El artículo 37 (7) no exige que los datos de contacto publicados incluyan el nombre del DPO. Corresponde al responsable y al DPO decidir si esto es necesario o útil en las circunstancias particulares”.

Enlaces relacionados sobre DPO

• DPO: el Delegado de Protección de datos en el GDPR
• DPIA: la evaluación de impacto en el GDPR