España | Informe jurídico de la AEPD sobre el Delegado de Protección de Datos

La AEPD resuelve dudas sobre la preparación necesaria del DPD y la validez legal de su nombramiento
España | Informe jurídico de la AEPD sobre el Delegado de Protección de Datos
1 de junio de 2022

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente el informe jurídico nº 0037/2020 en el que se resuelven diversas consultas relativas a la figura del Delegado de Protección de Datos (DPD).

En primer lugar, se abordan los criterios para la designación del DPD, con referencia a la preparación teórica y práctica necesaria para su correcta designación, destacando la necesidad de que existan profesionales que cubran dicha preparación en caso de que se designen entidades jurídicas como DPD.

La AEPD indica que la designación del DPD se regula en los artículos 37 del Reglamento General de Protección de Datos (RGPD), y 34 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, detallando cuáles son los sujetos obligados y los criterios a considerar para llevar a cabo su nombramiento. Posteriormente, la AEPD recalca que la exigencia de nombrar al DPD no debe interpretarse como una mera formalidad, sino que deben cumplirse los requisitos legales aplicables.

Además, el DPD deberá asumir funciones de asesoramiento y supervisión, incluyendo la realización de evaluaciones de impacto en los supuestos en los que sea necesario (p. ej., llevar a cabo tratamientos de alto riesgo). Asimimsmo, el DPD podrá inspeccionar los procedimientos, emitir recomendaciones y tendrá el deber de cooperar con la AEPD, como punto de contacto entre la compañía y la autoridad de control.

A su vez, el informe señala que el DPD debéra cumplir con unos requisitos de capacitación, a tenor del art. 37.5, interpretados y desarrollados en el pasado por las Directrices sobre los DPD del Grupo de Trabajo del Artículo del 29. En concreto, se remarcaban los siguientes puntos: (i) la no definición del nivel de conocimiento requerido, no obstante, éste debería ser acorde con la sensibilidad, complejidad y cantidad de los datos que tratados; (ii) la no especificación de las cualidades profesionales requeridas, sin embargo, un factor importante consistiría en que el DPD tenga conocimiento de la legislación y las prácticas nacionales y europeas en materia de protección de datos; (iii) la capacidad para desempeñar sus funciones, en referencia tanto a sus cualidades personales y conocimientos como a su puesto dentro de la organización. 

Por otro lado y, no menos relevante, se manifiesta que al DPD se le ha de dotar de los recursos necesarios, tales como el apoyo activo por parte de la alta dirección, tiempo suficiente para cumplir con sus funciones, recursos financieros, etc.

Dicho lo cual, la AEPD indica las siguientes consideraciones:

> Existe la posibilidad de nombrar un DPD para una multiplicidad de responsables y/o encargados del tratamiento, cumpliendo con los requisitos de capacitación, suficiencia de medios, disponibilidad e independencia y garantizando su participación adecuada en todas las cuestiones relativas a la protección de datos personales.

> Lo más relevante es que los DPDs reúnan los requisitos de capacitación e independencia exigidos, siendo indiferente el número de DPDs o su participación en la estructura de la organización del responsable.

> Lo importante es que las funciones asignadas al DPD se puedan realizar con eficacia, atendiendo al criterio de la disponibilidad, cuestión fundamental para garantizar el contacto sencillo entre interesados y el DPD.

A modo de resumen de esta primera consulta, la AEPD concluye que las funciones del DPD podrán desarrollarse eficazmente siempre que: (i) se cumpla con los requisitos de capacitación al proceder a la designación del DPD; y (ii) se le dote de los recursos necesarios. Asimismo, se podrá designar un equipo de DPD (un DPD y su personal), que deberá ser proporcional al tamaño y estructura de la organización, así como a la sensibilidad, complejidad y cantidad de los datos que se traten, debiendo garantizarse su disponibilidad.

En segundo lugar, la consulta plantea la validez legal del nombramiento de un DPD que esté vinculado a la propia organización, ya que se podría cuestionar su independencia, derivando en posibles incompatibilidades en el desarrollo de su actividad.

Tras realizar una primera aproximación jurídica de la regulación de este extremo en la normativa y destacar la necesaria separación entre la figura del DPD y del responsable de seguridad del Esquema Nacional de Seguridad (ENS) (cuyas funciones no podrán caer en la misma persona), la AEPD concluye que la designación del DPD responde a lo exigido por el principio de independencia en el desarrollo de su actividad, debiendo garantizarse que en el marco de su autonomía y en el desempeño de sus funciones y cometidos no se dé lugar a situaciones de incompatibilidad, ni de conflicto de intereses.

Por último, se destaca que en materia sancionadora, la responsabilidad de cumplir con los requisitos exigidos para la correcta designación del DPD y facilitar el ejercicio de sus funciones recaerá en el Responsable o, en su caso, en el encargado del tratamiento, quienes serán los que respondan ante un eventual incumplimiento de las obligaciones impuestas por la normativa de protección de datos sin que, en ningún caso, dicha responsabilidad recaiga personalmente sobre los DPDs.

1 de junio de 2022