El DPD y el Responsable de Seguridad de la información del ENS ¿figuras compatibles?

En artículos anteriores hemos hablado sobre las concretas  funciones que debe desempeñar un  Delegado de Protección de Datos. Sin embargo hoy haremos referencia  a las diferencias e incompatibilidades entre la figura del DPD y el Responsable de Seguridad (RS) en relación al informe recientemente publicado por la Agencia Española de Protección de Datos al respecto,  disponible a través del siguiente enlace:

 ¿Cuáles son las principales diferencias entre ambas figuras?

38. Principio de Independencia de la figura del DPD. Así lo establece en su artículo 38.3 RGPD que determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones.

Sin embargo, el responsable de seguridad, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza de esta independencia.

1. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

El RS sin embargo, debe velar por garantizar la seguridad de la información de la  organización.

1. Otra diferencia reseñable es en el ámbito de actuación de ambas figuras por cuanto respecta a la realización de los análisis de riesgos: mientras que el DPD se centrará en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realizará un análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
2. El DPD supervisará la labor que realiza el responsable de seguridad en sus tres vertientes: información, servicio y seguridad, porque el ENS focaliza y limita las funciones de estos responsables de seguridad, mientras que el RGPD amplía las funciones del DPD.

En este sentido,  unificar la figura del DPD con la del RS generaría un conflicto de intereses al vulnerar el principio de independencia asignado al DPD, y en definitiva no es recomendable que  el DPD sea “juez y parte” en el ámbito interno de una organización.

Respecto a los conflictos de intereses el Grupo de Trabajo sobre Protección de Datos del Artículo 29, revisadas por última vez y adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”.

No obstante, y dicho lo anterior, cabría la posibilidad de centralizar ambas figuras  en una sola persona siempre y cuando contara con la formación adecuada para el desempeño de ambas, debiendo separarse claramente las funciones que desempeña como DPD, y evitando cualquier conflicto de intereses.

Para terminar, indicar que en grandes organizaciones lo más recomendable es constituir un Comité de Seguridad que integre ambas figuras independientes. Así lo manifiesta también la norma ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection.

Equipo de Govertis