AD 36/2020
Palabras clave (Keywords)
DPD, DPO, Delegado de Protección de Datos, Data Protection Officer, Encargado del tratamiento, Responsable del tratamiento.
Abstract
The General Data Protection Regulation (GDPR) has introduced a new institution to the spanish legal system: The Data Protection Officer (DPO). Despite its regulation, both in the GDPR and the Spanish Data Protection Law, it is not certain whether or not it must be conceived as a data processor, as a data controller, or something else when the DPO fulfil the tasks on the basis of a service contract. This paper is aimed to analyse the compatibility between the DPO`s duties and the data processor functions.
| Introducción |
El Delegado de Protección de Datos (en adelante, “DPD”) es una figura novedosa en nuestro ordenamiento jurídico. Tanto el Reglamento General de Protección de Datos (en adelante, “RGPD”) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”) han regulado su régimen jurídico, comprendiendo supuestos de obligatoria designación para todo responsable y encargado del tratamiento. Considerando el desempeño de las funciones de un DPD y las garantías inherentes a su cargo, el presente artículo se focaliza en su compatibilidad con las obligaciones imputables a un encargado del tratamiento cuando su relación se regule mediante un contrato de prestación de servicios.
| Antecedentes |
Tras la entrada en aplicación del RGPD, y posteriormente la entrada en vigor de la LOPDGDD, muchos responsables y encargados del tratamiento se vieron en la necesidad de contratar los servicios de un DPD. De acuerdo con la memoria publicada por la Agencia Española de Protección de Datos (en adelante, “AEPD”) respecto al año 2018[1] se registraron en el Registro de Delegados de Protección de Datos un total de 20.000 entidades que habían comunicado la designación de un DPD a 31 de diciembre de 2018. Posteriormente, en el Balance final de cumplimiento del Plan Estratégico de la AEPD 2015-2019[2] quedó reflejado un incremento de casi 50.000 DPD notificados a la AEPD.
De conformidad con el artículo 37.6 RGPD, estas entidades han podido contar con los servicios de sus DPD mediante su incorporación en plantilla, o bien contratando los servicios de un proveedor externo.
En el supuesto de que se designase internamente y fuese un empleado de la organización, deberá observarse la confidencialidad y la ausencia de conflicto de intereses con el desempeño de otras funciones.
Sin embargo, cuando pudiera ser contratado externamente, ha de plantearse la elaboración de un contrato de encargo de tratamiento ante el acceso del DPD a los datos de carácter personal controlados por el responsable o encargado del tratamiento. No obstante, ¿puede una figura independiente como el DPD quedar sometido a las instrucciones de todo aquel que contrate sus servicios al desempeñar su función como encargado del tratamiento? Esta pregunta es relevante por varias razones, entre las que cabe destacar la reducción de costes por parte de quien esté obligado a contratar sus servicios, y la posibilidad de ser sancionado al no mediar contrato de encargo cuando dicha relación deba quedar regida por uno.
Unión Europea
En primer lugar, se ha de observar si desde algún organismo europeo se ha llegado a establecer la obligatoriedad de complementar todo contrato de prestación de servicios de DPD con un contrato de encargo de tratamiento.
El Supervisor Europeo de Protección de Datos[3] revisó el papel desempeñado por el DPD en su ámbito de competencia a la luz del RGPD en su “Position paper on the role of Data Protection Officers of the EU institutions and bodies” publicado el 20 de septiembre de 2018[4]. En el mismo, el Supervisor Europeo reconoce que el DPD podría ser externo a las instituciones que precisaran de sus servicios, aunque no lo recomienda expresamente. Con independencia de que se incline sobre un perfil interno, concluye que la posición de un DPD requiere un alto nivel de confidencialidad y no debe estar incurso en ningún conflicto de interés. A pesar de ello, no ahonda en los requisitos o las medidas de seguridad que ha de adoptar como encargado del tratamiento para salvaguardar dicha confidencialidad.
El Grupo de Trabajo del artículo 29 emitió el 13 de diciembre de 2016 sus directrices sobre los delegados de protección de datos[5], que fueron posteriormente revisadas y adoptadas por el Comité Europeo de Protección de Datos en el año 2017. A lo largo de su contenido se hace una breve mención sobre el nombramiento de un DPD externo. Concretamente, se especifica que las funciones han de ser ejercidas en el marco de un contrato de servicios y que la persona que ejerza las funciones de DPD ha de cumplir todos los requisitos aplicables del RGPD.
Por último, cabe mencionar el manual del DPD[6] elaborado por el profesor Douwe Korff y la experta internacional europea en materia de protección de datos Marie Georges. En este manual tampoco se refieren a la necesidad de que el contrato de prestación de servicios de un DPD externo requerido por el RGPD deba quedar complementado con un encargo de tratamiento.
España
Tanto la autoridad de control de protección de datos catalana como la AEPD han sido rotundas en este sentido: todo DPD externo ha de ser considerado encargado del tratamiento en la medida en que este necesite acceder a los datos de carácter personal para proceder con el ejercicio de sus funciones.
En la resolución CNS 31/2018[7], la Agencia Catalana de Protección de Datos dictaminó que “La designación de este DPD externo exige también formalizar un contrato de encargo del tratamiento, en los términos establecidos en el artículo 28.3 del RGPD, para que pueda acceder a la información personal de la que es responsable la administración pública necesaria para el desarrollo de sus funciones”.
Asimismo, la AEPD en sus “Directrices para la elaboración de contratos entre responsables y encargados del tratamiento”[8] da respuesta a esta cuestión indicando: “Sí, el RGPD prevé que el delegado de protección de datos debe poder acceder a los datos que se traten. Por tanto, deberá formalizarse un encargo del tratamiento”.
| Consideración del DPD como encargado del tratamiento |
Considerando la información hasta este punto ofrecida, parece que la posición en calidad de encargado del tratamiento se puede conciliar con la de DPD, si bien hay opiniones contrarias a esta conclusión, como veremos a continuación.
DPD como responsable del tratamiento o como figura independiente
Un DPD tiene un estatus singular dentro de cualquier organización debido al régimen normativo al que está sometido: es fundamental que no tenga un conflicto de intereses con la organización para la cual presta sus servicios; no puede recibir instrucciones de la entidad contratante respecto del ejercicio de sus funciones; no puede ser destituido ni sancionado por la entidad contratante por desempeñar sus funciones; y la entidad contratante no puede oponerse al acceso de los datos de carácter personal basándose en deberes de secreto o confidencialidad. Todo ello supone que, si fuera considerado encargado del tratamiento y tuviera que cumplir con lo dispuesto en el artículo 28 RGPD, perdería la garantía de independencia prevista, toda vez que ha de seguir las instrucciones del responsable, según dicho precepto [9].
Una línea de pensamiento que podría favorecer esta interpretación sería la de no considerar al DPD como encargado, sino como responsable del tratamiento. En este sentido, hay supuestos de profesionales y entidades que prestan un servicio y que han venido siendo considerados como responsables del tratamiento, no habiendo un “acceso” a la información sino una “comunicación” de datos. Nos referimos a continuación a algunas de ellas:
- Auditor de cuentas[10]: El contrato de auditoría de cuentas anuales queda sometido a la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, que en su artículo 14.1 indica: “Los auditores de cuentas y las sociedades de auditoría deberán ser independientes, en el ejercicio de su función, de las entidades auditadas, debiendo abstenerse de actuar cuando su independencia en relación con la revisión y verificación de las cuentas anuales, los estados financieros u otros documentos contables se vea comprometida”. A su vez, la Directiva que transpone a nuestro ordenamiento jurídico[11] promulga una independencia entre la entidad auditada y el auditor de cuentas, señalando, además, que respecto de este tipo de contratos no será posible “que puedan establecerse limitaciones al desarrollo del trabajo de auditoría ni estipulaciones contrarias a lo establecido en la citada normativa ni restricciones a la distribución o utilización del informe de auditoría”. Debido a esta independencia legalmente impuesta, y la obligatoria conservación de la documentación resultante para su puesta en conocimiento de las autoridades competentes para el control y supervisión, la AEPD concluyó en diversos informes jurídicos que el auditor de cuentas debía ser responsable del tratamiento y no encargado.
- Empresas de servicio de prevención de riesgos laborales y Mutuas de accidente[12]: Pese a su categorización como contrato mercantil, o contrato de prestación de servicios, la AEPD ha considerado que el tratamiento de datos realizado por este tipo de empresas en el marco de las funciones que legalmente se le han atribuido no se realiza conforme a un encargo de tratamiento, sino que viene precedido de una comunicación de datos.
De ambos ejemplos podemos obtener elementos (independencia del prestador del servicio, obligatoriedad legal del tratamiento, regulación normativa de las funciones desempeñadas por el prestador del servicio) que, comparados con la profesión del DPD, podrían justificarlo como una suerte de responsable del tratamiento.
Otra posibilidad que no ha de ser descartada es que el DPD quede configurado separadamente del responsable y encargado del tratamiento. En este sentido, el RGPD hace referencia a una constante separación respecto de la dicotomía responsable-encargado ya que su designación puede ser obligatoria tanto para para unos como para otros.
El DPD como encargado del tratamiento
A pesar de los análisis efectuados respecto de algunas de las posturas que pueden rebatir la idoneidad del encargo de tratamiento para regular este tipo de servicios, el presente estudio se inclina por la compatibilidad entre ambos debido a las siguientes razones:
Primero se ha de corroborar que el DPD va a tratar datos de carácter personal por defecto y si ha de ser entendido como destinatario de la información que puede llegar a tratar en el ejercicio de sus funciones. El artículo 36.3 LOPDGDD arroja luz al respecto, ya que indica: “En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica”[13].
Asimismo, el artículo 33 LOPDGDD señala: “El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo”.
Por lo tanto, el DPD requiere tratar datos de carácter personal para el correcto ejercicio de sus funciones. Asimismo, dicho tratamiento proviene de un acceso a la información de carácter personal, no convirtiéndose por tanto en responsable del tratamiento.
No obstante, lo anterior no da respuesta a la salvaguarda de su independencia que tan en entredicho ha quedado por la naturaleza del encargo de tratamiento. Para ello, hemos de remitirnos al artículo 29 RGPD. De acuerdo con este precepto: “El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros”.
Como consecuencia, la independencia que le caracteriza no es incompatible con su posición como encargado del tratamiento, ya que el propio RGPD ampara los supuestos en los que normativamente se hayan regulado las funciones y el proceder de estos.
| Conclusión |
De acuerdo con las posturas ofrecidas y la normativa citada, el DPD externo fundamenta su acceso a los datos de carácter personal a los que está obligado para el desempeño de sus funciones en calidad de encargado del tratamiento. Este acceso se realiza merced a la normativa de protección de datos, y no a las instrucciones manifestadas por el responsable del tratamiento (o encargado) en virtud de la obligación impuesta por el Derecho de la Unión y del Derecho español.
Alberto Casas
17 de marzo de 2020
Alberto Casas es abogado colegiado en el ICAM y Delegado de Protección de Datos certificado conforme al esquema de certificación de la AEPD a través de las entidades AENOR y Asociación Española para la Calidad. Actualmente desempeña labores de consultoría integral en materia de protección de datos a entes públicos y privados al frente del departamento de consultoría jurídica de la empresa Firma, Proyectos y Formación, S.L.
[1] https://www.aepd.es/sites/default/files/2019-09/memoria-AEPD-2018_1.pdf
[2] https://www.aepd.es/sites/default/files/2019-12/informe-final-cumplimiento-2015-2019.pdf
[3] El Supervisor Europeo de Protección de Datos es la autoridad supervisora independiente y garante del cumplimiento de la normativa de protección de datos por las instituciones y organismos europeos de acuerdo con el Reglamento (CE) nº45/2001.
[4] https://edps.europa.eu/sites/edp/files/publication/18-09-30_dpo_position_paper_en.pdf
[5] https://www.aepd.es/sites/default/files/2019-09/wp243rev01-es.pdf
[6] https://www.aepd.es/sites/default/files/2019-12/El%20Manual%20del%20DPD%20-%20KORFFGEORGES%20-%20ESP.pdf
[7] https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2018/Documents/es_cns_2018_031.pdf
[8] https://www.aepd.es/sites/default/files/2019-10/guia-directrices-contratos.pdf
[9]https://diariolaley.laleynext.es/Content/Documento.aspx?params=H4sIAAAAAAAEAB3ISwqAIBAA0Nu4VqPChas8gh1gyhEGRGPUwNv3ectHIVjn5UsbvaxS3MiVSrZaKiMnNX9Bcbhy-nGhjZAqijMhsIOGGyTMAdh67ijgqCX1hjvTHw-USFPwXQAAAA==WKE
[10] https://www.aepd.es/es/documento/2011-0272.pdf
[11] Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas.
[12] https://www.aepd.es/es/documento/2008-0189.pdf
[13] Tanto en este caso como en el que sigue, la negrita es nuestra.
Muy interesante. Excelente artículo.