201701.23
1
0

RGPD – El DPO y el conflicto de intereses

El DPO (Data Protection Officer), o DPD en español (Delegado de Protección de Datos) es una de las novedades que trae el Reglamento General de Protección de Datos (RGPD). Es una figura cuyas funciones son la asesoría, supervisión y prevención de las operaciones de tratamiento y sus respectivas auditorías, y que requiere de ciertos requisitos para ser nombrado. Uno de los más importantes, que es el que abordamos en este artículo, es el conflicto de intereses, o más bien la ausencia de ellos en la persona designada para ejercer dicha función.

En la Sección 3.5 de las Directrices del Grupo de Trabajo del Artículo 29 (WP29) sobre el DPO, se discute la cuestión del conflicto de intereses, señalándose que si bien el artículo 38 (6) del RGPD permite a un DPO realizar “otras tareas y deberes”, la organización debe evitar el nombramiento en el que esas “otras tareas y deberes” generen un conflicto de intereses.

La ausencia de conflicto de intereses está estrechamente relacionada con la obligación de actuar de manera independiente. Esto implica en particular que el DPO no puede ocupar un puesto dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la estructura organizativa específica en cada organización, esto debe ser considerado caso por caso.

Pero, ¿cuándo se produce un conflicto de intereses? El WP29 ofrece algunos ejemplos de incompatibilidades de roles en la nota 34. Como regla general, las posiciones en conflicto pueden incluir posiciones de alta dirección (tales como Director General, Director de Operaciones, Director Financiero, Director de Márketing, Director de Recursos Humanos o Director de TI), pero también otras funciones más abajo en la estructura organizativa si tales posiciones o roles conducen a la determinación de propósitos y medios de procesamiento.

De hecho, ya existen sentencias al respecto, como la reciente sanción dictada por la DPA de Baviera a una empresa que había designado a su Director de TI como DPO. 

Además, el dictamen deja muy claro que WP29 considera que la posición del DPO tiene más carácter jurídico que técnico, con la intención de que disponga de un conocimiento de la protección de datos de la UE y la ley específica de protección de datos nacionales. Por supuesto, podrá usar la asistencia de técnicos si fuera necesario.

MCA Consultores y Abogados puede actuar como tu DPO y adaptar tu organización al nuevo Reglamento General de Protección de Datos.

Leave a Reply

Your email address will not be published. Required fields are marked *