Miguel Recio
En un reciente informe jurídico, con referencia 0038/2023 y publicado por la Agencia Española de Protección de Datos (AEPD) con fecha 29 de mayo de 2023, el Gabinete Jurídico de la AEPD ha dado respuesta a varias consultas que se le han planteado sobre la posición jurídica y funciones del delegado de protección de datos (DPD). Pese a lo que pudiera parecer a primera vista, las cuestiones sobre las que se pronuncia el Gabinete Jurídico de la AEPD son muy relevantes para el estatuto jurídico del DPD.
La lectura del informe del Gabinete Jurídico de la AEPD permite identificar, entre otras, las siguientes cuestiones relevantes: 1) la posición del DPD en relación con el tratamiento de datos personales; 2) la prohibición de asignar responsabilidades al DPD que impliquen un conflicto de interés, y 3) el encuadramiento del DPD dentro de la organización del responsable.
1) Posición del DPD en relación con el tratamiento de datos personales
Sobre esta cuestión, el Gabinete Jurídico de la AEPD parte de que la posición que corresponde respectivamente al responsable, al encargado del tratamiento y al DPD requiere tener en consideración que son “conceptos autónomos de derecho europeo que han de ser objeto de interpretación uniforme en toda la UE”.
Y después de hacer referencia tanto a las definiciones de responsable y encargado del tratamiento, a la figura del corresponsable, a las Directrices 7/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado en el RGPD, así como a un informe previo (informe jurídico 2020-0037); el Gabinete Jurídico concluye que "el DPD está llamado a desempeñar un papel fundamental dentro del nuevo modelo de responsabilidad proactiva, si bien sus funciones deben ajustarse a la naturaleza asesora y supervisora que al mismo le corresponde”.
Cita también otros informes jurídicos relevantes, tales como el relativo a la función de asesoramiento en el caso de evaluaciones de impacto relativas a la protección de datos (informe jurídico 2018-0170), que se suma a la función de supervisión de su aplicación.
A la vista del informe, queda claro que el DPD ni es responsable ni es encargado del tratamiento y, en el caso de las evaluaciones de impacto relativas a la protección de datos, que sus funciones son las relativas al asesoramiento y supervisión, pero no a su realización.
2) Prohibición de asignar responsabilidades al DPD que impliquen un conflicto de interés
El Gabinete Jurídico de la AEPD se pronuncia también sobre la asignación de otras tareas al DPD e indica, por una parte, que dicha asignación “deberá respetar el carácter asesor y supervisor” (funciones asesoras y supervisoras del DPD) que tiene esta figura, y por otra, que no impliquen “la intervención directa en la toma de decisiones referidas a los fines y medios del tratamiento, que afectaría a su independencia e implicarían la existencia de un conflicto de intereses” (funciones decisorias del responsable y encargado).
Y añade también que no se le pueden asignar “responsabilidades directas en un ámbito que va a tener que supervisar y en el que estaría sujeto a instrucciones de otros órganos”. Esto último obviamente con la finalidad de evitar que reciba instrucciones, lo que afectaría a su independencia.
Por último, el Informe distingue entre las funciones que corresponden al DPD y al que denomina como “Responsable de Privacidad y Protección de Datos”, de manera que queda claro que se trata de funciones (y figuras) distintas.
3) Encuadramiento del DPD dentro de la organización del responsable
El Gabinete Jurídico de la AEPD indica que esta es una “cuestión organizativa que puede adoptarse libremente por el responsable o encargado del tratamiento, con el único límite de respetar la independencia funcional del DPD, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento”.
Es en este punto donde cabría hacer una puntualización, ya que si bien es cierto que el Gabinete Jurídico de la AEPD reproduce la expresión utilizada en la versión en español del Reglamento General de Protección de Datos (RGPD) en cuanto a que el DPD “rendirá cuentas directamente al más alto nivel” (art. 38.3), cabría plantear que la versión original en inglés de RGPD utiliza la expresión “shall directly report” que debería haber sido traducida como “informará directamente”, evitando así cualquier duda sobre una posible falta de independencia si el DPD tiene que rendir cuentas1.
Por último, en el informe jurídico también se trata la cuestión relativa a que el DPD, en el ejercicio de sus funciones, solo podrá ser “removido o sancionado en caso de incurrir en dolo o negligencia grave”, tal como prevé el artículo 36 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
1 Sobre esta cuestión, puede verse, Recio Gayo, M., El estatuto jurídico del Data Protection Officer, La Ley, Madrid, 2019.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través del siguiente formulario.
_840x420.jpg?v=3)
.jpg?v=4)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.