¿Cuáles son las otras funciones del DPO?
No se hace un gran descubrimiento al decir que el Delegado de Protección de Datos (DPD o DPO, por sus siglas en ingles), puede desempeñar otras funciones. Así viene recogido en el artículo 38 del Reglamento de Protección de Datos. De otra forma, las pequeñas y medianas empresas podrían tener serias dificultades para asumir los costes regulatorios que supone tener un asesor distinto por cada una de las regulaciones específicas.
Pero como suele ocurrir en la mayoría de situaciones, hay límites y en este caso el límite es que ese desempeño no provoque un conflicto de interés.
De forma coloquial, podemos definir un conflicto de interés como esa situación en la que una persona o entidad puede tomar una decisión influenciado por motivos que no son los estrictamente necesarios para desempeñar su puesto. Por ejemplo, contratar un proveedor en el que se tienen acciones o beneficia a un familiar, aún sabiendo que no es la mejor opción o es más cara. En ese ejemplo, ese profesional estaría perjudicando a la empresa que le contrató para beneficiar al familiar.
Poco a poco, las distintas autoridades de protección de datos y los tribunales de justicia han ido delimitando qué actividades sí generan un potencial conflicto de interés y que actividades no. Pero quizá la opinión más destacable, por lo inmediato desde la publicación desde la aprobación del RGPD, es la guía emitida por el antiguo grupo de trabajo del artículo 29.
Esta guía nos dice que el DPO no puede tener una posición en la organización que implique determinar el propósito del tratamiento de datos personales. Imaginaos, sería como si el DPO decidiera las acciones de marketing que se van a realizar con la base de datos de clientes. La labor correcta, en este ejemplo, sería que el departamento de Marketing elaborara la campaña y consultara al DPO qué requisitos se deben cumplir para realizarla. El DPO, en su labor de asesoramiento, podría indicar qué es necesario, o incluso en el peor de los casos decir que esa campaña no se ajusta a la normativa, pero la toma de decisión o el riesgo de lanzar esa campaña, aún con opinión desfavorable del DPO es de la organización (responsable), no del DPO.
Como reglas básicas, esta guía nos dice que hay puestos que implican un conflicto de interés: como CEO, Director de Operaciones, Director Financiero, de Marketing, de Recursos Humanos o de Tecnología, pero también otros roles con menores cargos en la organización que determinen igualmente estos propósitos.
También es un conflicto que el DPO represente a la organización ante los Tribunales de Justicia en caso de existir incidentes en ámbito RGPD. Esto tiene todo el sentido, recordad que el Delegado de Protección de Datos también tiene una función mediadora, que en algunos casos puede implicar posicionarse a favor del sujeto afectado.
Recordemos que el principio de responsabilidad proactiva hace que sea cada organización la que estime qué posición es la más adecuada que ocupe el DPO, interno o externo, en dedicación exclusiva o con otras funciones, en un área u otra… Por tanto, aunque tengamos unas guías, no hay una formula mágica que diga aquí si cumple y aquí no.
Mención especial requiere la figura del Compliance Officer (Responsable de cumplimiento normativo), que vela por que las organizaciones operen dentro de los límites legales y éticos, por las similitudes que en muchas ocasiones se presentan con el DPO. En concreto, la función de asesoramiento, la necesaria garantía de independencia, la necesidad de dotar de recursos suficientes y el acceso a la alta dirección.
Pues bien, aun siendo figuras muy similares y aunque un DPO puede desempeñar las funciones de Compliance Officer, también se pueden dar conflictos de interés, por ejemplo, cuando el mejor cumplimiento de la normativa RGPD pueda suponer un riesgo de cumplimiento de otras normativas contrapuestas, como la de prevención de blanqueo de capitales, que al contrario que el principio de minimización en el RGPD, implica que cuantos más datos se conozcan del cliente, mejor grado de cumplimiento.
A modo de conclusión, sí se pueden desempeñar otras funciones, con el límite impuesto por el RGPD y sin que tengamos una formula válida para todas las organizaciones, será cada una la que en virtud del principio de responsabilidad proactiva y según el contexto, decida si el desempeño de esas otras funciones puede suponer un conflicto de intereses y, en tal caso, que salvaguardas se deben adoptar para que no se produzcan.
Fuente: https://ec.europa.eu/newsroom/article29/items/612048/en
Si quieres obtener más información sobre Cumplimiento Normativo y Protección de Datos, visita nuestro blog