Multa en Bélgica por infracción del RGPD: Conflicto de intereses del Delegado de Protección de Datos

El pasado 28 de abril, la Autoridad de Protección de Datos Belga (la “DPA”) impuso una multa de 50.000 euros a una empresa por nombrar como delegado de protección de datos (“DPD”) a la misma persona que ocupaba el cargo de “Jefe de Compliance, Gestión de Riegos y Auditoría Interna”. Según la DPA, esta mezcla de responsabilidades supone un conflicto de intereses que infringe el RGPD.

Concretamente el Artículo 38.6 del RGPD: “El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

En su resolución, la DPA no revela el nombre de la empresa sancionada, por lo que nos referiremos a esta como la “Empresa”.


¿Qué constituye un conflicto de intereses?

Un conflicto de intereses se produce cuando existen factores que pueden afectar al nivel de objetividad de un individuo, poniendo en riesgo su capacidad de cumplir con sus obligaciones de forma imparcial.

El Grupo de Trabajo del artículo 29 en sus directrices sobre DPD publicadas en el 2016, explica que el conflicto de intereses está estrechamente vinculado a la independencia del DPD.

Esto significa que el DPD no puede ocupar un cargo en la empresa que le permita determinar los fines y medios del tratamiento de datos personales. Es decir, no puede ser responsable del tratamiento de datos de ningún departamento.

Llevado al extremo a modo de ejemplo: el DPD no puede ser el Jefe de Ventas de una empresa, dado que sus objetivos de ventas pueden entrar en conflicto con su obligación de velar por el cumplimiento de la normativa de protección de datos.

Según las directrices, los cargos que pueden suponer un conflicto de intereses son los de la alta dirección, como por ejemplo: director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI.

Sin perjuicio de lo anterior, también existen otros cargos inferiores en la estructura organizativa que pueden suponer un conflicto de intereses si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento.


¿Cuáles son los argumentos de la DPA para justificar la sanción?

La DPA argumenta que el DPD de la Empresa, en su capacidad de jefe de los departamentos de Compliance, Gestión de Riesgos y Auditoría Interna, puede determinar la finalidad y medios del tratamiento de datos llevados a cabo en el contexto de estos departamentos, afectando a su independencia.

Dicho de otro modo: como jefe de varios departamentos, el DPD tiene una responsabilidad operacional significativa en cuanto al tratamiento de datos dentro de estos departamentos, por lo que no puede ser imparcial en su rol como DPD.

La DPA también justifica la sanción por la ausencia por parte de la Empresa de una política interna documentando sus mecanismos para evitar conflictos de intereses.


Conclusión:

La sanción de la DPA belga nos resulta una interpretación bastante sorprendente y restrictiva del RGPD y las Directrices del Grupo de Trabajo del artículo 29 sobre DPD, dado que el mismo artículo 38.6 del RGPD permite que el DPD pueda “desempeñar otras funciones y cometidos”.

El artículo 37.5 del RGPD además especifica que el DPD debe contar con “conocimientos especializados del Derecho”, por lo que las empresas que por su tamaño no requieran un DPD a tiempo completo y tengan asignado este rol a su jefe de compliance o del departamento legal, tendrán que actualizar su mapa de riesgos.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Deja una respuesta

avatar
  Subscribe  
Notify of
Ir al TOP

Esta página web utiliza cookies de Google para prestar sus servicios y para analizar su tráfico. Su dirección IP se comparte con Google, junto con las métricas de rendimiento y de seguridad, para garantizar la calidad del servicio, generar estadísticas de uso y detectar y solucionar abusos. En caso de que se suscriba al blog, también usaremos cookies de Mailchimp con el fin de poder recopilar los datos necesarios para el envío de newsletters. Más información

Los ajustes de cookies de esta web están configurados para «permitir cookies» y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar» estarás dando tu consentimiento a esto.

Cerrar