¿Pueden coincidir DPD y Responsable de Seguridad?

Partiendo necesariamente de la diferenciación existente entre seguridad de la información y protección de datos de carácter personal, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), en su informe jurídico 2018-0170, considera que deben diferenciarse la figura del delegado de protección de datos (en adelante DPD) y del responsable de seguridad (en adelante RSEG) por las siguientes razones:

Razones para diferenciar la figura del delegado de protección de datos y de responsable de seguridad

1.- La segregación de funciones recogida en el artículo 10 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, sería también extensible a la figura del DPD ya que así lo prevé el Reglamento General de Protección de Datos en su artículo 38.3: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”.

A diferencia del RSEG que recibe órdenes del responsable de la información, el DPD no puede recibir instrucciones para el ejercicio de sus funciones y, por tanto, obrará con total independencia.

2.- El papel del RSEG es garantizar la seguridad de la información mientras que el papel del DPD puede resumirse en garantizar los derechos y libertades de las personas cuyos datos son tratados, con independencia y rindiendo cuentas directamente al más alto nivel jerárquico del responsable o del encargado del tratamiento.

Se trata, por lo tanto, de funciones de asesoramiento distintas en sus principios y en su alcance, motivo por el cual dichas funciones responden a ordenamientos diferenciados. En consecuencia, el RSEG proporciona directrices encaminadas a garantizar la seguridad de la información, sean datos personales o simplemente información de las Administraciones Públicas, mientras que las directrices que debe proporcionar el DPD (considerando 77) están encaminadas a garantizar los derechos y libertades de las personas y no la seguridad de la información.

En conclusión, a diferencia del RSEG, quien puede recibir instrucciones del responsable IT, el DPD no debería recibir instrucciones en el desempeño de sus funciones. El nombramiento del DPD sobre la misma persona o entidad que ostenta la condición de RSEG supondría negar el principio de independencia y segregación de funciones del ENS (art. 10) y una negación del principio de independencia que determina el RGPD (Art. 38.3).

No obstante lo anterior, la AEPD ha reconocido, como caso excepcional, la posibilidad de que el DPD coincida con el RSEG en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, siempre y cuando quede justificada tal decisión y no se vean comprometidas dichas incompatibilidades. 

Blog Master Dpo

Deja un comentario