Hogan Lovells 2024 Election Impact and Congressional Outlook Report
En nuestra última entrada a este respecto solo llegamos a arañar la capa más externa del tejido del universo DPD: cuándo nombrar un DPD y cómo notificarlo a la AEPD. En esta entrada nos vamos a adentrar un poco más en cuestiones que pueden plantear mayores problemas. En concreto, cuáles son sus funciones, sus clases e incompatibilidades.
¡Recordad! Los requisitos que a continuación se mencionan aplican también cuando se nombra un DPD de forma voluntaria.
Aunando el RGPD, la LOPDGDD, las FAQs de la AEPD y las directrices del viejo Grupo de Trabajo del Artículo 29; encontramos, entre otras, las siguientes funciones:
(A) Hacer de interlocutor ante la AEPD o autoridades locales de protección de datos y cooperar con las mismas.
(B) Informar y asesorar al responsable / encargado del tratamiento y a los empleados que se ocupen del tratamiento en materia de protección de datos. Esto incluye recabar información para determinar las actividades del tratamiento, inspeccionar o participar en los procedimientos relacionados con esta materia, emitir recomendaciones, la concienciación y formación del personal y las auditorías correspondientes.
Si observa una vulneración relevante en materia de protección de datos, debe documentarla y comunicarla inmediatamente a los órganos de administración y dirección de la compañía.
El DPD designado por un encargado también supervisará las actividades del mismo cuando actúe como responsable por derecho propio (e.g. RR HH, TI, logística).
El DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.
(C) Es el guardián del registro de actividades del tratamiento. Debe ser informado de cualquier adición, modificación o exclusión en su contenido. Si bien el obligado último en llevar dicho registro es el responsable / encargado, nada impide que se le asigne al DPD la tarea de mantener el registro de actividades.
(D) Asesorar en la realización de evaluaciones de impacto en materia de protección de datos y supervisar su aplicación de acuerdo al art. 35 RGPD. Sin perjuicio de ello, la responsabilidad de realizar una evaluación de impacto corresponde al responsable.
Se recomienda que se busque el asesoramiento del DPD en las siguientes cuestiones (según las directrices antes señaladas):
Si el responsable no está de acuerdo con el asesoramiento ofrecido por el DPD, la documentación de la evaluación de impacto debe justificar específicamente por escrito por qué no se ha tenido en cuenta el consejo.
(E) Colaboración en el análisis de riesgos. El DPD debe priorizar aquellas cuestiones que presenten mayores riesgos para la protección de datos (obviamente sin ignorar el resto). Como la AEPD indica, “[e]ste enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos”. El responsable puede disponer que el DPD lleve a cabo dicho análisis (si bien la responsabilidad última recae sobre el responsable del tratamiento).
(F) Bajo la LOPDGDD, tienen determinadas funciones en el ámbito de la investigación en la salud pública.
(G) Ser un punto de contacto de los interesados e intervenir en caso de reclamación.
(H) Otras funciones y cometidos siempre y cuando no comprometan su independencia o le suponga un conflicto de interés para llevar a cabo sus tareas.
El DPD debe ser independiente y no verse afectado por conflictos de interés. Esto implica:
Escrito por Santiago de Ampuero