El artículo 39, apartado 1, letra b), encomienda a los DELEGADOS DE PROTECCIÓN DE DATOS, entre otras obligaciones, la de supervisar la observancia del RGPD. El considerando 97 especifica además que, «al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda» del DPD. Como parte de esas obligaciones de supervisión de la observancia, los DPD pueden, en particular:

  • Recabar información para determinar las actividades de tratamiento.
  • Analizar y comprobar la conformidad con la normativa de las actividades de tratamiento.
  • Informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento.

Supervisar la observancia no significa que el DPD sea personalmente responsable de cualquier caso de inobservancia. El RGPD establece claramente que es el responsable y no el DPD quien está obligado a aplicar «medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento» (artículo 24, apartado 1). El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.

¿Es el DPD responsable personalmente del incumplimiento de los requisitos de protección de datos?

No, el DPD no es responsable personalmente del incumplimiento de los requisitos de protección de datos. Es el responsable o el encargado del tratamiento quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con el RGPD. El cumplimiento de las normas en materia de protección de datos es responsabilidad del responsable del tratamiento.

  • Ahora bien, el DPD debe actuar conforme las siguientes variables:
  • Si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
  • qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
  • si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
  • qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados;
  • si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar) son conformes con el RGPD.
  • Si el responsable no está de acuerdo con el asesoramiento ofrecido por el DPD, la documentación de la evaluación de impacto debe justificar específicamente por escrito por qué no se ha tenido en cuenta el consejo. El Grupo de Trabajo del artículo 29 recomienda, además, que el responsable del tratamiento describa con claridad, por ejemplo en el contrato del DPD, pero también en la información facilitada a los empleados y a la dirección (y a otras partes interesadas, cuando sea pertinente), las funciones exactas del DPD y su alcance, en particular con respecto a la realización de evaluaciones de impacto relativas a la protección de datos.

Cooperación con la autoridad de control y actuación como punto de contacto:

De conformidad con el artículo 39, apartado 1, letras d) y e), el DPD deberá «cooperar con la autoridad de control» y «actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto».

  • Estas labores hacen referencia al papel de «facilitador» del DPD, mencionado en la introducción de las presentes directrices. El DPD actúa como punto de contacto para facilitar el acceso de la autoridad de control a los documentos y la información necesarias para la realización de las tareas mencionadas en el artículo 57, así como para el ejercicio de sus poderes de investigación, correctivos, de autorización y consultivos mencionados en el artículo 58.
  • Como ya se ha señalado, el DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión Europea y de los Estados miembros (artículo 38, apartado 5).
  • No obstante, la obligación de mantener el secreto o la confidencialidad no prohíbe al DPD contactar con la autoridad de control y recabar su asesoramiento. El artículo 39, apartado 1, letra e), establece que el DPD podrá realizar consultas a la autoridad de control sobre cualquier otro asunto, en su caso.

Enfoque basado en el riesgo

El artículo 39, apartado 2, requiere que el DPD desempeñe sus funciones «prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento». Dicho artículo recuerda un principio general y de sentido común, que puede ser pertinente para muchos aspectos del trabajo diario de un DPD.

  • En esencia, requiere que los DPD establezcan prioridades en lo que respecta a sus actividades y centren sus esfuerzos en las cuestiones que presenten mayores riesgos para la protección de datos.

Esto no significa que deban desatender la supervisión de la observancia de las normas en las operaciones de tratamiento de datos que tengan comparativamente menos riesgos, sino que deben centrarse principalmente en los ámbitos de mayor riesgo.

Este enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

Papel del DPD en el mantenimiento de registro de actividades

En virtud del artículo 30, apartados 1 y 2, es el responsable o el encargado del tratamiento, y no el DPD, quien está obligado a llevar «un registro de las actividades de tratamiento efectuadas bajo su responsabilidad» o a mantener «un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable».

  • En la práctica, es frecuente que los DPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan los distintos departamentos responsables del tratamiento de datos en su organización. Esta práctica se ha establecido en virtud de muchas legislaciones nacionales vigentes y de las normas sobre protección de datos aplicables a las instituciones y organismos de la UE37 .

El artículo 39, apartado 1, establece una lista de tareas mínimas de que debe encargarse el DPD. Por tanto, nada impide que el responsable o el encargado del tratamiento asignen al DPD la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable o del encargado del tratamiento. Dicho registro debe considerarse una de las herramientas que permiten al DPD realizar sus funciones de supervisión de la observancia de las normas y de información y asesoramiento al responsable o al encargado del tratamiento.

En cualquier caso, el registro que se debe mantener con arreglo al artículo 30 debe considerarse también una herramienta que permita al responsable y a la autoridad de control, si así lo solicitan, tener una perspectiva general de todas las actividades de tratamiento de los datos personales que una organización está llevando a cabo. Es, por tanto, un requisito previo para la observancia de las normas y, como tal, una medida efectiva de rendición de cuentas.

× Hola, ¿Cómo podemos ayudarte?
A %d blogueros les gusta esto: