¡Comparte en redes sociales!

¿Puede un DPD auditar su propia empresa?

Para resolver esta duda, que resulta muy frecuente, debemos acudir, en primer lugar al  artículo 39 del Reglamento General de Protección de Datos (en adelante, RGPD) sobre las funciones del Delegado de Protección de Datos (en adelante DPD) donde se establece que este supervisará el cumplimiento de lo dispuesto en la normativa aplicable en materia de protección de datos, así como de las políticas relativas a la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y, por último, a las auditorías correspondientes.

Como podemos comprobar, el RGPD no indica qué papel juega el DPD en las auditorías. Sin embargo, en el artículo 38 sí que nos dice que el DPD puede desempeñar otras funciones y cometidos, siempre y cuando se garantice que dichas tareas no den lugar a conflicto de intereses. 

Por lo tanto, la clave es preguntarnos si el hecho de que el DPD intervenga en una auditoría podría constituir una situación de conflicto de interés.

Así, sabemos que hay empresas, en las que, en función de su tamaño y naturaleza, se ha creado un departamento de protección de datos que ejecuta las tareas vinculadas a esta función, en tanto el DPD tan solo supervisa. En otros casos, el DPD (ya sea una única persona o varias) se encarga de ejecutar los programas de cumplimiento para el responsable del tratamiento. En este último escenario, no solo existe mayor riesgo de conflicto de interés, sino que, además, no tiene sentido que la persona que se encarga de preparar y ejecutar los programas de cumplimiento en protección de datos se audite ella misma, ya que si existen errores o deficiencias será más difícil detectarlos. 

Modelo de las 3 líneas

En segundo lugar, para resolver esta cuestión, también podemos mencionar el denominado “Modelo de las 3 líneas”, conforme al cual:

  • La primera línea está compuesta por el control de la gerencia, donde cada área operativa o funcional de la organización pone en práctica la gestión de sus propios riesgos y controles.
  • La segunda línea contempla las funciones de supervisión de riesgos, controles y cumplimiento de políticas y estándares establecidos.
  • La tercera línea, compuesta por Auditoría Interna, aporta, entre otros, supervisión objetiva sobre las dos primeras líneas de defensa.

Aunque las tres líneas están relacionadas entre sí y han de coordinarse y cooperar entre ellas, nunca los equipos de la segunda y tercera línea de defensa deben coincidir.

La ubicación natural y lógica del DPD sería en esa 2ª línea de defensa, con independencia de las tareas que se le encomienden.

En resumen, resulta necesario definir claramente qué atribuciones tiene el DPD en cuanto a la supervisión del cumplimiento de protección de datos y cuáles ejercerá funcionalmente el área de Auditoría Interna. No olvidemos que el DPD es una función más de la organización y que igualmente debe ser auditado y controlado en sus funciones, sin que esto suponga o pueda suponer una pérdida de independencia para dicha figura.

Por todo ello, podemos concluir que el DPD podría auditar su propia organización, ya que no hay ninguna norma que lo impida. No obstante, no debería hacerlo, para evitar situaciones de conflictos de interés, dar otro punto de vista diferente a la empresa y facilitar que se detecte si las tareas realizadas bajo su dirección se están realizando de forma correcta.

Avatar Of Óscar J Labella

IT Lawyer | Governance, Risk & Compliance | Privacy

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Leave a Comment