Este septiembre la autoridad de protección de datos de Berlín (Berliner Beauftragte für Datenschutz und Informationsfreiheit, BInBDI) ha anunciado una importante sanción a un grupo empresarial del sector e-commerce retail de 525.000€.
Sin entrar en los detalles técnicos del caso sí que hay que remarcar que la principal recriminación jurídica que hace la autoridad a la empresa sancionada es que la persona designada como delegada de protección de datos (DPO) es simultáneamente director general de dos empresas de servicios del grupo. Ello fácilmente podría generar en una situación de conflicto de interés.
El artículo 38.6 del Reglamento General de Protección de Datos (RGPD) es claro en que el DPO sí puede compatibilizar sus funciones con otras tareas siempre y cuando no incurra en conflicto de intereses. ¿Cómo aterrizar dicha previsión?
Justamente hace años que un conocido dictamen de las autoridades europeas nos daba algunas orientaciones: “Como norma general, los cargos en conflicto dentro de una organización pueden incluir los puestos de alta dirección (tales como director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI)”.
Al respecto me gustaría aclarar
En primer lugar, estos casos no son los únicos en los que puede ocurrir. El dictamen al que me he referido ya señala que quien represente ante los tribunales al responsable o al encargado del tratamiento puede incurrir en conflictos de interés (especialmente si lo representa en asuntos relacionados con protección de datos). Asimismo tampoco sería la mejor práctica que concurra en la misma persona la designación como DPO y como compliance officer. Justamente el 2020 en Bélgica hubo una sanción a una entidad en que una de las recriminaciones era que el DPO había carecido de independencia al ocupar dicho cargo. Ello nos muestra que valorar la independencia del DPO es algo complejo y que no debe cerrarse con una simple aproximación tipo “black list”.
En segundo lugar, habría tres recomendaciones a hacer ante una cuestión tan delicada:
- Redactar un protocolo o normas de gestión de potenciales conflictos de interés en que incurra quien sea DPO y publicarlo internamente (incluso si no concurre en los cargos con mayor complejidad). No solo es algo bueno para definir qué puede ser un conflicto de interés y cómo gestionarlo, también protege al propio DPO en casos dudosos y refuerza su garantía de independencia.
- Documentar qué puestos y funciones –según la propia idiosincrasia de la empresa- puede dar lugar a más situaciones de conflictos de interés en las que deban aplicarse dichas normas.
- Guardar evidencia a efectos de accountability de que ha habido alguna situación en que se han aplicado dichas reglas. Especialmente pero no únicamente en aquellos casos en que sí concurre otro cargo con el que puede haber conflicto de interés.
- Cuando más tiempo transcurre más fácil es que se dé esta situación por lo que documente una buena gestión de casos al respecto puede servir para demostrar que en realidad la entidad no incurre en incumplimiento normativo.
Finalmente solo señalar que, para acabar de rizar el rizo, algunas de las funciones del DPO incluidas en el RGPD guardan un pequeño reto de conflicto de interés consigo mismo. ¿Cómo es compatible la función de asesorar a la entidad en RGPD y simultáneamente supervisar el cumplimiento del RGPD en dicha entidad? ¿Será que supervisa la implementación de lo que él o ella ha indicado…pero sin supervisar que la entidad está bien asesorada? Para no entrar en una suerte de bucle los DPO deben ser los primeros interesados en solicitar a firmas externas servicios de diagnóstico de distinto tipo o incluso de asesoramiento. De otra forma sería irónico que incluso el DPO fuera el que asesorara a la entidad, redactara el protocolo y supervisara si como DPOincurre en conflictos de interés que, como hemos visto, pueden suponer importantes riesgos legales, reputacionales y económicos para la entidad.
