El Comité Europeo de Protección de Datos identifica las áreas de mejora para la promoción y el reconocimiento de los Delegados de Protección de Datos

En primer lugar, se ha detectado que todavía existen organizaciones ubicadas en los Estados Miembros que no han designado a un DPO pese a estar obligadas a ello.

En este aspecto, el CEPD recomienda a las autoridades de control realizar campañas de sensibilización sobre la necesidad de designar a un DPO, o emitir guías en esta materia.

En consecuencia, y a pesar de que no figura en el informe, consideramos recomendable documentar la correspondiente evaluación sobre la necesidad de disponer de esta figura dentro de la organización para poder, en su caso, acreditar la diligencia debida. 

Los resultados de la investigación evidencian que la provisión de los recursos necesarios a los DPO no siempre se lleva a cabo.

A mayor abundamiento, se ha detectado que existe una falta de capital humano, sobre todo en aquellos cargos o posiciones cuyas tareas consisten en apoyar al DPO principal. A su vez, esto tiene una serie de repercusiones negativas en las organizaciones, ya que se espera que los DPO asuman una carga de trabajo superior a la que son capaces de gestionar, y existe un riesgo de incumplimiento del RGPD cuando el DPO se encuentra ausente.

Por ello, el CEPD sugiere a los responsables y encargados del tratamiento que realicen un análisis detallado de la cantidad de recursos que deben ser asignados.

Asimismo, puede ser útil para las organizaciones adoptar un Modelo de Gobierno de la Privacidad donde se establezca una estructura clara en lo que a privacidad y protección de datos se refiere, y en el que se definan las partes que van a estar involucradas en la gestión de las actividades relacionadas con la privacidad y cumplimiento del RGPD, como el propio DPO y un equipo de apoyo. De esta manera, se tendrá una visión clara del capital humano que se necesita y de la cantidad de recursos que se deberán asignar a esta partida. 

Otra deficiencia detectada ha sido la falta de conocimiento de los DPO a la hora de asumir esta posición y la posterior ausencia de formación una vez asumido el cargo.

Esta falta de aptitud para el cargo es de especial relevancia, puesto que nos encontramos en un sector que está experimentando un vertiginoso desarrollo y donde cada vez son más las leyes y materias que el DPO debe dominar, como el futuro Reglamento de IA, y los ya aplicables Reglamentos de Servicios y Mercados Digitales, entre otros.

Por ende, más allá de las recomendaciones del CEPD y a la vista de la emergencia de nuevas normativas aprobadas por la Comisión Europea en el ámbito digital, es recomendable para las organizaciones recurrir a terceros especializados con las habilidades técnicas requeridas para que puedan dar soporte al DPO y garanticen el cumplimiento de estos nuevos Reglamentos.

Se ha constatado que algunas de las organizaciones analizadas no asignan las responsabilidades suficientes a sus DPO. Asimismo, también se observa que existen inconsistencias respecto del rol que ocupa en la práctica esta figura, y en ocasiones no existe la comunicación necesaria entre el DPO y la dirección de las organizaciones.

Esto se puede deber, o bien (1) a que las organizaciones no han definido formalmente cuáles han de ser las funciones que debe llevar a cabo un DPO, o bien (2) a que existe una falta de entendimiento o comprensión sobre el papel que debe ocupar un DPO dentro de una organización.

Asimismo, las autoridades también concluyen que en ocasiones no se consulta al DPO en aspectos de protección de datos que son de su competencia, lo que dificulta a éstos el ejercicio de sus funciones y afecta negativamente al soporte que éstos pueden prestar a los responsables del tratamiento en el cumplimiento de sus obligaciones.

Para solucionar este conflicto, puede ser útil realizar acciones concretas encaminadas a definir el rol del DPO y sus funciones dentro de la Compañía, tales como la elaboración de un Estatuto del DPO.

Por último, el CEPD observa que el DPO normalmente desempeña otras funciones y cometidos que pueden conllevar la falta de independencia que se les exige respecto del responsable o encargado del tratamiento.

Sin perjuicio de lo anterior, también ha quedado evidenciado que a una cantidad notable de DPO se les encomiendan tareas que resultan contradictorias y les obligan a ejercer simultáneamente varios roles. En este aspecto, también influyen las órdenes que el DPO pueda recibir de sus superiores. Cabe destacar que la dirección de una empresa u organización no puede instruir a éstos sobre cómo deben llevar a cabo sus tareas y funciones, ya que, de ser así, tal figura no gozaría de la independencia que la normativa de protección de datos le exige.

Para solventar esta problemática, se recomienda que las organizaciones formalicen y documenten las condiciones bajo las cuales el DPO deberá llevar a cabo sus funciones. Además, se anima a las partes involucradas a que recojan evidencia en aquellos casos donde se producen injerencias en la autonomía e independencia de esta figura.

Finalmente, y para evitar estos conflictos, también puede ser útil externalizar los servicios de DPO, de tal manera que el riesgo de que se produzca un conflicto de intereses o falta de independencia se reduzca notablemente.