Noticias JurídicasOrigen http://noticias.juridicas.com

#nuevaLOPD
29/11/2018 09:53:55 | Carlos B Fernández | Protección de Datos

El responsable de seguridad en el ámbito del ENS no puede ejercer como DPO

Según el Gabinete Jurídico de la Agencia Española de Protección de Datos, “con carácter general”, el cargo de delegado de protección de datos (DPD) regulado en el RGPD y el de responsable de seguridad (RSEG) previsto en el Esquema Nacional de Seguridad (ENS), no pueden recaer en la misma persona u órgano colegiado.

Solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como DPD de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD. En este caso, resultaría imprescindible adoptar todas las medidas organizativas, debidamente reflejadas en su Política de seguridad de la información, que garantice la necesaria independencia y la ausencia de conflicto de intereses, por lo que no podría recibir instrucciones respecto al desempeño de sus funciones como delegado de protección de datos, deberá responder directamente al más alto nivel jerárquico y no podrá participar en las decisiones relativas a los fines y medios del tratamiento.

En todo caso, esta circunstancia excepcional, deberá evaluarse caso por caso, así como documentarse dicha designación haciendo constar los motivos por lo que el organismo correspondiente no ha podido observar dicha separación de funciones así como las medidas que garantizan la necesaria independencia del delegado de protección de datos.

Diferenciación de funciones

Según el informe 2018-0170 que acaba de hacer público la Agencia, la figura del delegado de protección de datos, regulada en la Sección 4 del Capítulo IV, artículos 37 a 39, del RGPD (regulación que deberá completarse, una vez que entre en vigor, con lo dispuesto en el Capítulo III del Título III, artículos 34 a 37, Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, actualmente en tramitación en el Senado), adquiere una importancia esencial en el nuevo modelo establecido por el RGPD, al asumir la función de asesorar y supervisar las actividades de tratamiento de los responsables o encargados y cuyo nombramiento podrá tener carácter obligatorio o voluntario, según los casos.

Entre las características de su regulación destaca el hecho de que tanto el artículo 38.3 del RGPD (“El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”), como el artículo 36.2 del PLOPDPGDD (“Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”), resaltan la importancia de evitar conflictos de intereses con la organización.

En cuanto al responsable de seguridad de la información, se trata de una figura regula por el art. 10 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (“En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad… el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios”).

Fundamentos

El Gabinete Jurídico de la AEPD, partiendo de la diferenciación existente entre seguridad de la información y protección de datos de carácter personal, considera que deben diferenciarse la figura del delegado de protección de datos y del responsable de seguridad por las siguientes razones:

1.- La segregación de funciones recogida en el artículo 10 del ENS, sería también extensible a la figura del DPD ya que así lo prevé el RGPD en su artículo 38.3.

A diferencia de las figuras que define el artículo 10 del ENS, que reciben órdenes del responsable de la información, el DPD no puede recibir instrucciones de ninguna de las figuras ya mencionadas y obrará con total independencia de las mismas. Cuestión que, lógicamente, impide que las funciones del DPD puedan ser llevadas a cabo por parte de cualquiera de los roles implicados en el cumplimiento del ENS quienes pueden recibir instrucciones del responsable de la información. Podemos decir, que el principio de independencia del DPD tiene un ámbito más restrictivo que el que tiene el RSEG en el ámbito del ENS.

2.- En consonancia con lo anterior, el DPD informa y asesora al responsable, supervisa el cumplimiento, lleva a cabo labores de concienciación y formación del personal implicado en los tratamientos de datos personales y coopera con la autoridad de control con independencia del resto de las figuras implicadas en la seguridad de la información de las Administraciones Públicas.

El papel del RSEG es garantizar la seguridad de la información de las Administraciones Públicas mientras que el papel del DPD puede resumirse en garantizar los derechos y libertades de las personas cuyos datos son tratados con independencia rindiendo cuentas directamente al más alto nivel jerárquico del responsable o del encargado del tratamiento. Se trata, por lo tanto, de funciones de asesoramiento distintas en sus principios y en su alcance, motivo por el cual dichas funciones responden a ordenamientos diferenciados.

En consecuencia, el RSEG proporciona directrices encaminadas a garantizar la seguridad de la información, sean datos personales o simplemente información de las Administraciones Públicas, mientras que las directrices que debe proporcionar el DPD (considerando 77) están encaminadas a garantizar los derechos y libertades de las personas y no la seguridad de la información. A diferencia del RSEG, quien puede recibir instrucciones del RINF, el DPD no debería recibir instrucciones en el desempeño de sus funciones.

El nombramiento del DPD sobre la misma persona o entidad que ostenta la condición de RSEG supondría, negar el principio de independencia y segregación de funciones del ENS (art. 10) y, una negación del principio de independencia que determina el RGPD (Art. 38.3).

Por lo tanto, corresponde únicamente y en última instancia, al responsable decidir el modo en que van a ser tratados los datos. El DPD asesora pero no decide sobre dicho modo en el que los datos van a ser tratados y mucho menos correspondería al RSEG llevar a cabo dicho asesoramiento pues, su ámbito de actuación, se centra en garantizar la seguridad de la información.

3.- Por otro lado, aunque podrían apreciarse similitudes en parte de las funciones de ambas figuras, señalar que se trata, como ya se ha indicado, de ámbitos de actuación distintos, con objetivos que deberían ser diferenciados. Concretamente el RSEG actúa con el fin de garantizar la seguridad de la información y las funciones del DPD deben encaminarse a garantizar los derechos y libertades de las personas en los tratamientos que lleva a cabo el responsable.

El análisis de riesgos tiene diferentes finalidades, como ya se ha mencionado, en el ENS tiene por objeto determinar los riesgos para la información de las Administraciones Públicas mientras que en el RGPD tiene por finalidad determinar los riesgos que los tratamientos de datos personales implican para los derechos y libertades de las personas.

4.- Partiendo de lo anterior, concluye el Informe, carece de sentido el “hermanamiento” de ambas figuras ya que equivaldría a manifestar que en ningún caso existiría un posible conflicto de intereses, o que existiera riesgos para la independencia del DPD tal y como expresa el artículo 38.3 del RGPD.

#NuevaLOPD

Tras el RGPD la nueva LOPD. Libros, herramientas, formación o congresos… Wolters Kluwer pone a tu disposición todo lo que necesitas para cumplir con la nueva regulación de la protección de datos.

Llega a España el Primer Congreso de Delegados de Protección de Datos. Wolters Kluwer asume el reto de organizar el Primer Congreso Nacional de Delegados de Protección de Datos. Un congreso de DPO para DPOs. Accede en este enlace a toda la información.


Te recomendamos

Actividad en Facebook