La compatibilitat del delegat de protecció de dades amb altres càrrecs

La figura del dele­gat de pro­tecció de dades (DPO per les seves sigles en anglès —Data Pro­tec­tion Offi­cer—) esdevé una funció fona­men­tal en empre­ses que trac­ten un gran volum de dades o dades que són sen­si­bles, així com resulta obli­ga­tori en deter­mi­nats casos.

Tal com pre­veu el regla­ment de la UE gene­ral de pro­tecció de dades (RGPD), el DPO ha de par­ti­ci­par de manera ade­quada i en temps oportú en totes les qüesti­ons rela­ti­ves a la pro­tecció de dades per­so­nals; ha de dis­po­sar dels recur­sos neces­sa­ris per desen­vo­lu­par les seves fun­ci­ons i pel man­te­ni­ment dels seus conei­xe­ments espe­ci­a­lit­zats; i no pot rebre cap ins­trucció pel que fa al desen­vo­lu­pa­ment de les seves fun­ci­ons, ni ser des­tituït ni san­ci­o­nat pel desen­vo­lu­pa­ment de les seves fun­ci­ons.

Una de les qüesti­ons més con­tro­ver­ti­des, és que si bé el RGPD esta­bleix que el DPO podrà exer­cir altres fun­ci­ons dins l’empresa, pun­tu­a­litza que només serà pos­si­ble quan aques­tes no donin lloc a un con­flicte d’interes­sos amb les fun­ci­ons del càrrec de DPO.

Al res­pecte, una sanció de 50.000 euros impo­sada per l’Auto­ri­tat de Pro­tecció de Dades belga a una empresa belga (Reso­lució 18/2020, de 28 d’abril) ha gene­rat certs dub­tes sobre la com­pa­ti­bi­li­tat del DPO amb altres càrrecs dins l’empresa. La sanció se cen­tra en la plu­ra­li­tat de fun­ci­ons exer­ci­des per una mateixa per­sona: DPO i direc­tor de com­pli­ance, gestió de ris­cos i audi­to­ria interna; ente­nent en aquell cas que hi havia un con­flicte d’interes­sos.

La clau per tal d’enten­dre aquest con­flicte d’interes­sos radica en la pro­hi­bició que el DPO ocupi alhora un càrrec que li ator­gui el poder de deter­mi­nar els fins i mit­jans del trac­ta­ment de dades. Pre­ci­sa­ment, el prin­ci­pal argu­ment de l’auto­ri­tat belga rau en el fet que la plu­ra­li­tat de fun­ci­ons del DPO com­pro­met la seva inde­pendència i objec­ti­vi­tat en assu­mir una res­pon­sa­bi­li­tat sig­ni­fi­ca­tiva en el trac­ta­ment de dades. Així doncs, la impo­sició de la sanció es fona­menta en l’absència d’una política interna que pre­vin­gui con­flic­tes d’interes­sos, subrat­llant la importància d’esta­blir mesu­res inter­nes sòlides per tal de garan­tir la inde­pendència del DPO.

En defi­ni­tiva, si bé no hi ha cap pro­hi­bició expressa que el DPO ocupi altres càrrecs a l’empresa, sinó que està pre­vist així al RGPD, la figura del DPO reque­reix una atenció acu­rada i mesu­res pro­ac­ti­ves per garan­tir-ne la capa­ci­tat d’exer­cir les seves res­pon­sa­bi­li­tats de manera impar­cial, sense res­tric­ci­ons inter­nes i sense que es pro­du­ei­xin con­flic­tes d’interès.