El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) de la Unión Europea (artículo 37) y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, (artículo 34) recogen las entidades que están obligadas a contar con un Delegado de Protección de Datos (DPD), considerándose infracción grave “… el incumplimiento de la obligación de designar un Delegado de Protección de Datos en todas las cuestiones relativas a la protección de los datos personales …” (ARTICULO 73v).
Dicha infracción puede estar sancionada según el artículo 83. 4 del RGPD con multa de hasta 10 millones de Euros o de una cuantía equivalente al 2% como máximo del volumen total de negocio anual del ejercicio financiero anterior, optándose por la de mayor cuantía.
Pero, debemos tener en cuenta que, tanto la empresa como el Delegado de Protección de Datos tienen que cumplir con unas obligaciones como podemos ver por ejemplo en el artículo 38.6 del RGPD donde “El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”.
Es por ello que, el pasado 28 de abril, una empresa fue multada por la autoridad de Protección de Datos Belga con 50.000 euros ya que había nombrado como DPD a la misma persona que ocupaba el cargo de “Jefe de Compliance, Gestión de Riesgos y Auditoría Interna”.
Debemos tener en cuenta que un conflicto de intereses se produce cuando existen factores que puedan afectar al nivel de objetividad de un individuo, poniendo de esta forma en riesgo su capacidad de cumplir con sus obligaciones de forma imparcial.
Desde la autoridad de protección de datos belga argumentan que, el DPD de la empresa, en su capacidad de jefe de los departamentos de Compliance, Gestión de Riesgos y Auditoría Interna, puede determinar la finalidad y medios del tratamiento de datos llevados a cabo en el contexto de estos departamentos, afectando así a su independencia.
Además, justifica la sanción por la ausencia por parte de la empresa de una política interna documentando sus mecanismos para evitar conflictos de intereses.
Para terminar, deberíamos tener en cuenta que, esta empresa no ha sido sancionada porque el DPD estuviera trabajando en la empresa con otras funciones ya que, el art. 38.6 del RGPD permite que el DPD pueda “desempeñar otras funciones y cometidos dentro de la empresa”, por lo que, el DPD puede desempeñar otras tareas siempre y cuando éstas no entren en conflicto con su responsabilidad como DPD.