El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posición y funciones del Delegado de Protección de Datos (DPD) en el contexto del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). A continuación, se presenta un resumen de los puntos clave del informe.
El RGPD y la LOPDGDD establecen un marco normativo que busca garantizar un nivel uniforme y elevado de protección de los datos personales en toda la Unión Europea. Este marco define claramente las responsabilidades de los responsables y encargados del tratamiento de datos, así como las funciones del DPD. El DPD actúa como asesor y supervisor, asegurando que las organizaciones cumplan con las normativas de protección de datos.
El informe destaca que el DPD no tiene responsabilidades directas en caso de incumplimiento del RGPD, ya que estas recaen sobre el responsable o encargado del tratamiento. El DPD debe ser independiente y no recibir instrucciones en el desempeño de sus funciones. Su papel es asesorar y supervisar, pero no tomar decisiones ejecutivas sobre el tratamiento de datos.
El DPD debe contar con la autonomía y los recursos necesarios para desarrollar su labor de forma efectiva. Esto incluye la capacidad de rendir cuentas directamente al más alto nivel jerárquico de la organización y de recibir apoyo activo de la alta dirección. La independencia del DPD es crucial para garantizar que pueda cumplir con sus funciones sin conflictos de interés.
El informe también aborda la necesidad de separar claramente las funciones del DPD de las del responsable o encargado del tratamiento. Esto se logra mediante la creación de un nuevo puesto, como el de Responsable de Privacidad y Protección de Datos, que asuma las funciones ejecutivas relacionadas con la gestión de la privacidad y la protección de datos.
En cuanto a las relaciones entre el DPD y el responsable o encargado del tratamiento, el informe subraya que el DPD debe informar al responsable de sus actuaciones y decisiones, aunque su criterio no es vinculante. El responsable o encargado debe documentar los motivos por los que no sigue el consejo del DPD.
Finalmente, el informe concluye que cualquier cambio organizativo que afecte a la protección de datos debe contar con la participación del DPD, aunque su informe no es vinculante. El responsable o encargado puede apartarse del criterio del DPD, siempre que respete las obligaciones establecidas por el RGPD y documente adecuadamente los motivos de su decisión.
En resumen, el informe de la AEPD subraya la importancia de la independencia y autonomía del DPD, así como la necesidad de una clara separación de funciones entre el DPD y el responsable o encargado del tratamiento. Esto garantiza que las organizaciones cumplan con las normativas de protección de datos y protejan adecuadamente los derechos de los individuos.