El rol del DPO como mediador y de resolución extrajudicial de conflictos

Por Francisco Ramón González-Calero Manzanares

El artículo 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), recoge el rol del DPO  al disponer que las funciones serán, como mínimo, las siguientes:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por su parte el apartado 2º del art 35 del RGPD insiste en el rol del DPO, como asesor: “El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales dentro de las funciones del RGPD de cooperación y punto de contacto con la autoridad de control y los interesados, introduce unas disposiciones en el artículo 37 que otorgan al DPO funciones de mediador y resolución extrajudicial de conflictos:

Por un lado, los interesados podrán con carácter previo a la presentación de una reclamación ante la autoridad de control competente, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. El DPO tendrá dos meses desde la presentación de la reclamación para comunicar al interesado que solución se da a su reclamación. Esta previsión se ha creado en desarrollo del apartado 4º del art 38 del RGPD: “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

Por otro lado, si el interesado no ha reclamado previamente al DPO, la autoridad de control, podrá remitir la reclamación al DPO para que en el plazo de un mes intente dar una respuesta satisfactoria a la reclamación. Si no lo logra o bien no responde en el plazo de un mes, la autoridad de control podrá abrir el procedimiento sancionador correspondiente. En este supuesto la Agencia Española de Protección de Datos viene exigiendo en estos casos:

  • Informe de las causas que han originado la reclamación.
  • Informe sobre la solución que se ha dado al reclamante
  • Informe sobre las medidas técnicas y organizativas implementadas para evitar reclamaciones similares en el futuro.

Si el reclamante queda satisfecho o la autoridad de control observa que se ha actuado conforme a la normativa vigente o se han adoptado las medidas oportunas, puede posteriormente no admitir a trámite la reclamación de acuerdo con el art 65.4 de la LOPDGDD: “Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica”. Esta previsión dota al DPD de una posición privilegiada a la hora de asesorar, supervisar y actuar como punto de contacto con vistas a evitar la apertura de un procedimiento sancionador mediante la mediación y la resolución extrajudicial de conflictos, lo que lo convierte en una figura muy recomendable en los casos en los que su nombramiento no es obligatorio sino voluntario.

Al tratar el rol del  DPO  es importante indicar que el DPO no resuelve en los casos anteriores la reclamación, sino que asesora a la entidad a la que representa sobre la mejor solución y la mas acorde con la normativa, y posteriormente traslada al reclamante o a la autoridad de control la respuesta de dicha entidad. Una cosa es que el DPO prepare y elabore la respuesta, y otra cuestión diferente es que la respuesta sea imputable al DPO incluso aunque la haya firmado.

Si el DPO responde a una reclamación de un interesado o a una solicitud de ejercicio de derecho ARSOPL, su actuación debe consistir en remitir la respuesta de la entidad a la que representa.

Si un DPO firma y presenta a la autoridad de control la respuesta de la entidad a la que representa, lo debe hacer en base a los antecedentes, información y decisiones que le ha facilitado y ha tomado la entidad a la que representa. Todo ello puede sustentarse en los siguientes aspectos:

  • EL DPO como hemos visto, asesora, supervisa y actúa como punto de contacto, en ningún momento tiene funciones ejecutivas. Es más, si es un DPO persona física con contrato laboral no podrá ser despedido o sancionado por el ejercicio de sus funciones salvo negligencia grave o dolo en el ejercicio de sus funciones (art 36.2 LOPDGDD).
  • El DPO está excluido del régimen sancionador de la LOPDGDD de acuerdo con el art 70.2. “No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título”.
  • El apartado primero del art. 36 de la LOPDGDD otorga la competencia al DPO para: “inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
  • Aunque las reclamaciones derivadas por la autoridad de control al DPO vayan a su nombre, se refieren a actuaciones u omisiones del responsable o encargado al que representa. Y aunque no se haya nombrado voluntariamente DPO, el art 65 de la LOPDGDD permite remitir en idénticos términos esa reclamación: “La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes”.
  • El DPO debe documentar e informar inmediatamente a los órganos de dirección de las vulneraciones que aprecie en la normativa vigente (art. 36.4 LOPDGDD).
  •  En relación con la realización de Evaluaciones de impacto en protección de datos, las Directrices del GT29 sobre DPO parten de la base que el DPO puede tener un papel relevante en la realización de las mismas. Por ello proponen que se le solicite asesoramiento en las siguientes cuestiones:
  1. Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos
  2. Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos
  3. Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa
  4. Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados
  5. Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el RGPD.
  6. Si el responsable del tratamiento está en desacuerdo con el consejo expresado por el DPO, la documentación de la evaluación de impacto de la protección de datos deberá justificar específicamente por escrito por qué el consejo no se ha tenido en cuenta.

Pero qué tipo de actuaciones debe llevar a cabo el DPO cuando recibe una reclamación de la autoridad de control o de un interesado. En la siguiente tabla damos algunas de las medidas que podrían ser llevadas a cabo por el DPO.

Reclamación de la autoridad de controlReclamación de un interesado
Comunicar sin dilación la reclamación recibida a la entidad a la que representa.
Fijar junto con la entidad representada el plazo máximo legal de respuesta según sea el supuesto objeto de reclamación.
Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con el área o departamento implicado.
Comunicar sin dilación la reclamación recibida a la entidad a la que representa.
Fijar junto con la entidad representada el plazo máximo legal de respuesta según sea el supuesto objeto de reclamación.
Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con el área o departamento implicado.
En su caso y si las circunstancias del caso lo requieren, recabar información del Instructor de la AEPD o funcionario que lleve el asunto. Si no fuera posible contactar con el mismo, utilizar el formulario habilitado por la AEPD para comunicación del DPD con la AEPD. El DPD está sujeto a secreto profesional, por lo que no debe facilitar información a la AEPD si fuera requerido para ello. Será en su caso la entidad representada, si su derecho a la defensa lo aconseja, la que proporcionará la información solicitada.
Si las circunstancias del caso lo aconsejan, contactar directamente con el reclamante (o la asociación de usuarios o consumidores que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una acción judicial de daños y perjuicios.Contactar directamente con el reclamante (o la asociación de usuarios o consumidores que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una reclamación ante la AEPD y/o de una acción judicial de daños y perjuicios.
Asesorar al responsable sobre las medidas correctoras y de mejora a implementar, en su caso.
Asesorar al responsable sobre el tipo de respuesta que se debe dar a la AEPD.
Asesorar al responsable sobre las medidas correctoras y de mejora a implementar, en su caso.
Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada.Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada al reclamante a través del DPD.
Presentar a la AEPD la respuesta a la reclamación presentada en nombre de la entidad representada.Facilitar una respuesta al reclamante sobre la estimación o desestimación de su reclamación por parte de la entidad representada.
Realizar un seguimiento regular del asunto hasta su archivo o resolución.Realizar un seguimiento regular del asunto hasta su resolución.
Verificar que la entidad representada adopta las medidas necesarias para solucionar el asunto objeto de la reclamación.
En su caso, asesorar sobre la posibilidad de presentar un recurso contencioso administrativo.
Si detecta que supuestos similares han sido resueltos de manera diferente por otras autoridades europeas de protección de datos, asesorar a la entidad representada sobre las posibilidades de actuación previstas en la normativa.
Asesorar a la entidad sobre la mejora continua, tendente a intentar evitar o mitigar casos similares en el futuro.