El 25 de mayo de 2018 se activaba la aplicación del Reglamento Europeo de Protección de Datos (RGPD), y con él se introducirán sustanciales novedades en la gestión de los datos personales. De los de todos. Novedades que afectarán tanto al sector público como al sector privado, y entre uno de los aspectos más destacados del nuevo marco legal es la aparición de un nuevo órgano de control: el Delegado de Protección de Datos (DPO). Figura de la que también se ha ocupado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que se ocupa de esta figura en los artículos 34 a 37.
¿Qué es un DPO? Su principal característica es su configuración como un órgano de control, en este caso, de cumplimiento legal de la normativa en materia de protección de datos. Configuración que abre un interrogante sobre las posibilidades de que ese “oficial de cumplimiento normativo” en materia de protección de datos (DPO) sea también un oficial de cumplimiento normativo de más amplio ámbito de actuación, es decir, un Compliance Officer.
Para intentar arrojar algo de luz y aportar argumentación al respecto, analizemos sus características y puntos de encuentro, no sólo con el RGPD, sino también con la LOPDGDD
El Delegado de Protección de Datos ¿Cuáles son sus características?
- Funciones. El RGPD atribuye al DPO la función básica de supervisor del cumplimiento de lo dispuesto en el mismo, pero también de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales. Sobre éstas ha venido a incidir la LOPDGDD, en cuyo artículo 37 le atribuye una función potestativa en relación con su intervención en caso de reclamación ante las autoridades de protección de datos.
- Profesionalización. Las funciones asignadas al DPO en el artículo 39 RGPD, le definen como experto cualificado, por lo que deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones normativamente atribuidas. Además del esquema de certificación que ha previsto la AEPD (disponible aquí).
- Posición. Su articulación en la organización o entidad objeto de control, exige que pueda participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, y contar con los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
- Designación. En cuanto a su integración en la organización, el marco normativo no impone su designación entre el personal propio de la entidad objeto de control, sino que ofrece margen a la potestad de autoorganización, estableciendo que podrá formar parte de la plantilla del responsable o del encargado del tratamiento. En el caso de las Administraciones públicas la nueva función de intermediación apuntada ha planteado dudas sobre su configuración como autoridad intermedia de control, función reservada a funcionarios públicos).
- Publicidad y Transparencia. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control. La AEPD ha publicado el registro de Delegados de Protección de Datos, accesible aquí.
- Autonomía e Independencia. La naturaleza de las funciones asignadas requiere dotar al DPO de autonomía e independencia en su ejercicio, y para ello, no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones, no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones y rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. A diferencia del RGPD, la LOPDGDD realiza una salvedad a la prohibición de remoción ni sanción por el desempeño de las funciones del DPD, cuando incurriera en dolo o negligencia grave en su ejercicio.
El Compliance Officer¿Cuáles son sus características?
El Compliance Officer, por su parte, se configura como el responsable de establecer las normas y la aplicación de los procedimientos para asegurar que los programas de cumplimiento son suficientes y adecuados, en la identificación, prevención, detección y corrección de las faltas de cumplimiento con la normativa y obligaciones aplicables, tanto como herramienta de prevención de la responsabilidad penal, como de buen gobierno corporativo.
En cuanto a sus características, podemos observar que, a pesar de la inexistencia de un estatuto legal tan definido como el DPD es posible avanzar algunas líneas fundamentales para garantizar el ejercicio de su función, sobre la base de lo establecido en el artículo 31 bis del Código Penal, cuando señala que “la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica”.
- Funciones. Supervisar y garantizar la eficacia de los modelos de organización y gestión para la prevención de delitos o para reducir de forma efectiva el riesgo de su comisión.
- Profesionalización. Debe contar con la formación adecuada al cumplimiento de su finalidad, no hay más que ver, cómo, en los últimos años, han proliferado los distintos programas de especialización y certificación para el ejercicio de Compliance Officer.
- Designación. Las soluciones y modelos adoptados son múltiples y variados, y pasan tanto por la encomienda a órganos internos como externos, incluso con órganos de composición mixta para huir de la endogamia organizacional.
- Poderes autónomos. Debe contar con autonomía en el ejercicio de su función, permitiendo el acceso a la información y a los procedimientos de la organización, característica no siempre fácil de cumplir, con independencia de que se integre en la organización o sea externo a la misma.
- Independencia. La independencia en los órganos de control es una garantía imprescindible, pero, en ocasiones, la relación de servicio o laboral, así commo la escasa dotación de medios y recursos para el desarrollo de su función, dificultan esta independencia, por lo que habrá que articular los mecanismos para que se pueda preservar.
En conclusión…
La esencia de ambas figuras obedece a la necesidad de garantizar el cumplimiento de la normativa, en un caso sectorial, protección de datos, el DPD, y en el del Compliance Officer, de la normativa penal o en un planteamiento más ambicioso, del marco normativo general. ¿Por qué son necesarios? Si, efectivamente, el cumplimiento de la normativa constituye un deber para todos, ciudadanos, empresas y administraciones públicas, parece que su existencia es redundante. Pero, sin embargo, la evidencia de los incumplimientos es testimonio fiel de su necesidad. De este modo, en las organizaciones y entidades, tanto públicas como privadas, se impone la tendencia de establecer mecanismos, cada vez más rigurosos, de control, abriendo nuevos escenarios que exigen nuevas estrategias como la optimización de dichos controles.
Por tanto, la pregunta definitiva es ¿Es posible compatibilizar las funciones de DPD con las de Compliance Officer? La respuesta parece que debe ser afirmativa. Tanto el marco normativo como las recomendaciones de la Agencia Española de Protección de Datos, contemplan que el DPD podrá desempeñar otras funciones y cometidos, aunque, en ese caso, el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses, sin que la LOPDGDD haya afectado a la configuración inicial del DPD para impedir dicha compatibilidad. De ahí que a la vista del carácter obligatorio, en numerosos supuestos, de la figura del DPO lo idóneo sería explorar las posibilidades de optimizar este nuevo órgano de control para configurarlo como un Compliance Officer que de respuesta a las necesidades de ética, transparencia y buen gobierno organizacional.
NOTAS
Sobre esta materia resulta de interés la consulta de:
- ¿Es necesario un Compliance Officer en el Sector Público?
- Documento Informativo de la Agencia de Protección de Datos El Delegado de Protección de Datos en las Administraciones Públicas
- El Blog de Rafael Jiménez Asensio, en relación con la figura del DPO en las administraciones públicas aquí
- El Blog de Víctor Almonacid, en relación con la figura del DPO el ámbito de la administración local aquí