Informació especial
La compatibilitat del delegat de protecció de dades amb altres càrrecs
Cal garantir que aquest càrrec pot exercir les seves responsabilitats de manera imparcial, sense restriccions internes i sense que es produeixin conflictes d’interès
La figura del delegat de protecció de dades (DPO per les seves sigles en anglès —Data Protection Officer—) esdevé una funció fonamental en empreses que tracten un gran volum de dades o dades que són sensibles, així com resulta obligatori en determinats casos.
Tal com preveu el reglament de la UE general de protecció de dades (RGPD), el DPO ha de participar de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals; ha de disposar dels recursos necessaris per desenvolupar les seves funcions i pel manteniment dels seus coneixements especialitzats; i no pot rebre cap instrucció pel que fa al desenvolupament de les seves funcions, ni ser destituït ni sancionat pel desenvolupament de les seves funcions.
Una de les qüestions més controvertides, és que si bé el RGPD estableix que el DPO podrà exercir altres funcions dins l’empresa, puntualitza que només serà possible quan aquestes no donin lloc a un conflicte d’interessos amb les funcions del càrrec de DPO.
Al respecte, una sanció de 50.000 euros imposada per l’Autoritat de Protecció de Dades belga a una empresa belga (Resolució 18/2020, de 28 d’abril) ha generat certs dubtes sobre la compatibilitat del DPO amb altres càrrecs dins l’empresa. La sanció se centra en la pluralitat de funcions exercides per una mateixa persona: DPO i director de compliance, gestió de riscos i auditoria interna; entenent en aquell cas que hi havia un conflicte d’interessos.
La clau per tal d’entendre aquest conflicte d’interessos radica en la prohibició que el DPO ocupi alhora un càrrec que li atorgui el poder de determinar els fins i mitjans del tractament de dades. Precisament, el principal argument de l’autoritat belga rau en el fet que la pluralitat de funcions del DPO compromet la seva independència i objectivitat en assumir una responsabilitat significativa en el tractament de dades. Així doncs, la imposició de la sanció es fonamenta en l’absència d’una política interna que previngui conflictes d’interessos, subratllant la importància d’establir mesures internes sòlides per tal de garantir la independència del DPO.
En definitiva, si bé no hi ha cap prohibició expressa que el DPO ocupi altres càrrecs a l’empresa, sinó que està previst així al RGPD, la figura del DPO requereix una atenció acurada i mesures proactives per garantir-ne la capacitat d’exercir les seves responsabilitats de manera imparcial, sense restriccions internes i sense que es produeixin conflictes d’interès.
