600 - Régimen de responsabilidad aplicable al del delegado de protección de datos en el ejercicio de sus funciones

Responsabilidad del DPD

En lo que refiere a la responsabilidad del DPD, la ley no hace mención expresa al respecto. No obstante, el artículo 24, apartado 1, del RGPD regula la responsabilidad del responsable del tratamiento. Este precepto dispone que es el responsable del tratamiento quien está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que el tratamiento se realiza conforme al RGPD.

De la lectura de esta norma se concluye que el responsable debe responder ante posibles sanciones que se impongan al DPD o indemnizaciones exigidas por el interesado a consecuencia de daños y perjuicios por infracción del RGPD. Es más, el artículo 70, apartado 2, de la LOPDGDD excluye de la aplicación del régimen sancionador a los delegados de protección de datos.

Consultando la sede electrónica de la AEPD, y suscribiendo sus palabras «el responsable (o encargado del tratamiento en su caso) es responsable del cumplimiento de la normativa de protección de datos y debe ser capaz de demostrar dicho cumplimiento. Si el responsable o el encargado del tratamiento toman decisiones que son incompatibles con el RGPD y el consejo del DPD, este debe tener la posibilidad de expresar con claridad sus discrepancias al más alto nivel de dirección y a los encargados de la toma de decisiones».

En definitiva, el DPD no es responsable personalmente en caso de incumplimiento del RGPD y de la LOPDGDD. Sus funciones presentan un carácter colaborativo y de apoyo, no determinante en cuanto a toma de decisiones. No obstante, existe un riesgo en esta figura al estar sumamente expuesta a la exigibilidad de la responsabilidad. De ahí la función o posición que se le encomienda en el artículo 36, apartado 4, de la LOPDGDD, pues ante posible vulneración relevante en materia de protección de datos, el DPD debe documentarlo o comunicarlo a los órganos de administración y dirección del responsable o el encargado del tratamiento.

Certificación del DPD

Es mandato del artículo 42 del RGPD que los Estados miembros, autoridades de control, el Comité y la Comisión deben promover la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos para demostrar el cumplimiento de lo dispuesto en el mencionado reglamento.

Como norma general no se exige certificación para el ejercicio de las funciones como DPD. No obstante, la AEPD ha considerado necesario promover un sistema de certificación (o esquema de certificación) de profesionales de protección de datos para poder evaluar los candidatos a DPD en función de sus cualificaciones profesionales y conocimientos requeridos. El esquema de certificación exige experiencia o formación reconocida como prerrequisito a tal candidatura.

Así, el propio artículo 35 de la LOPDGDD dispone que el cumplimiento de los requisitos que exige el artículo 37, apartado 5, del RGPD (conocimientos en derecho y la práctica en materia de protección de datos) para ser DPD, se puede demostrar a través de otros medios como mecanismos voluntarios de certificación que tendrán en cuenta tales conocimientos.

De esta forma, el artículo 39 de la LOPDGDD establece que «sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación».

CUESTIONES

1. ¿Qué es la formación reconocida que se establece en el Esquema de certificación como prerrequisito al candidato a DPD?

En el esquema se recogen los requisitos necesarios para que las entidades de certificación reconozcan un programa de formación impartido por una entidad de formación. Así, se exigirá a los programas de formación que:

- Han de respetar la duración de la formación requerida (60, 100 y 180 horas).

- Deben impartir la materia de acuerdo con el programa definido en el esquema (tres dominios de conocimiento con porcentaje respectivo de 50 %, 30 % y 20 %).

- Se valida la formación mediante un examen.

- Presente un método didáctico que incluya: impartición de conocimientos teóricos, prácticos y ejercicios en grupo.

Fuente: página web AEPD.

2. ¿Cuáles son las entidades de certificación?

Las certificaciones deben ser otorgadas por entidades debidamente acreditadas por la Entidad Nacional de Acreditación (ENAC), conforme a la norma UNE-EN ISO/IEC 17024:2012 (ISO 17024) y en el ámbito de la aplicación del esquema de certificación de delegados de protección de datos, atendiendo a criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

La AEPD ha publicado una relación de entidades de certificación acreditadas por la ENAC, que son:

- IVAC INSTITUTO DE CERTIFICACIÓN, S.L.

- ASOCIACIÓN PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS FORUM.

- CENTRO DE REGISTRO Y CERTIFICACIÓN DE PERSONAS (CERPER).

- ANF AUTORIDAD DE CERTIFICACION ASOCIACION, ANF AC.

- CUALICONTROL - ACI, S.A. (Unipersonal).

- ADOK CERTIFICACIÓN INTERNACIONAL, S.L.

- BUREAU VERITAS IBERIA, S.L.

Fuente: página web AEPD.

Fundamento jurídico: art. 39 de la LOPDGDD.