Desde la publicación de la Ley General de Protección de Datos, en 2018, existían muchas expectativas en cuanto a la regulación de la actuación del Encargado del Tratamiento de Datos (el famoso “DPO”). La norma fue finalmente publicada en julio de 2024 por la Autoridad Nacional de Protección de Datos – ANPD (Resolución CD/ANPD nº 18, de 16 de julio de 2024), aportando puntos muy importantes sobre la designación del encargado, sus deberes y atribuciones legales, y sobre conflictos de intereses.
Inicialmente, debemos recordar que el nombramiento de un DPO solo no es obligatorio para microempresas, pequeñas empresas y startups – los llamados “agentes de tratamiento de pequeño porte”. Sin embargo, si la empresa desarrolla actividades de alto riesgo para datos personales (con el uso intensivo de datos, tratamiento de datos que pueda afectar derechos fundamentales, o mediante tecnologías emergentes o innovadoras – como el caso de la Inteligencia Artificial, por ejemplo), deberá nombrar DPO aunque sea considerada un agente de pequeño porte – y esto solo puede ser descubierto mediante un evaluación realizado por una asesoría jurídica especializada.
Para las empresas obligadas a designar un Encargado de Protección de Datos (DPO), existen diversos cuidados que deberán observarse para cumplir con las nuevas normas editadas por la ANPD. El primero de estos cuidados se refiere a la propia forma en que se designa al DPO. Según la nueva normativa, es obligatorio que la designación se realice mediante un documento escrito, fechado y firmado – documento que deberá presentarse a la ANPD si así lo solicita. Estas formalidades también deberán observarse en la designación del sustituto que actuará en ausencia del DPO (como vacaciones o bajas por motivos de salud). La recomendación de la ANPD es que este “acto formal” sea, por ejemplo, un contrato de prestación de servicios (si el DPO es externo a la organización), pero también puede hacerse mediante un addendum al contrato de trabajo si el Encargado es un empleado que trabaja bajo el régimen de la CLT.
Además, la empresa deberá “establecer las cualificaciones profesionales necesarias para el desempeño de las funciones del encargado”, lo que también se recomienda hacer mediante un acto formal (como una política interna), garantizando así que se nombre a una persona con conocimientos adecuados sobre protección de datos personales y seguridad de la información.
Un punto muy importante de la nueva regulación, por cierto, es el que autoriza que el DPO sea tanto persona física (pudiendo formar parte de la plantilla de la empresa, o ser externo a ella) como persona jurídica, aclarando una duda con relación a la actuación de empresas especializadas en DPO como Servicio.
Independientemente de la naturaleza jurídica del DPO, la norma exige que su identidad y sus datos de contacto se divulguen adecuadamente (preferiblemente en la página web de la empresa), con la indicación del nombre completo (si es persona física) o denominación social y nombre de la persona física responsable (en caso de persona jurídica); además de información mínima de contacto (como correo electrónico y teléfono), que permita la recepción de comunicaciones de titulares o de la ANPD.
En relación con las actividades del DPO, la norma incluye una serie de nuevas atribuciones, particularmente para prestar asistencia y orientación al liderazgo de la empresa sobre:
I – registro y comunicación de incidentes de seguridad;
II – registro de las operaciones de tratamiento de datos personales;
III – informe de impacto en la protección de datos personales;
IV – mecanismos internos de supervisión y mitigación de riesgos relativos al tratamiento de datos personales;
V – medidas de seguridad, técnicas y administrativas, aptas para proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inadecuado o ilícito;
VI – procesos y políticas internas que aseguren el cumplimiento de la Ley nº 13.709, de 14 de agosto de 2018, y de los reglamentos y orientaciones de la ANPD;
VII – instrumentos contractuales que regulen cuestiones relacionadas con el tratamiento de datos personales;
VIII – transferencias internacionales de datos;
IX – reglas de buenas prácticas y de gobernanza y programa de gobernanza en privacidad, en los términos del art. 50 de la Ley nº 13.709, de 14 de agosto de 2018;
X – productos y servicios que adopten estándares de diseño compatibles con los principios previstos en la LGPD, incluyendo la privacidad por defecto y la limitación de la recolección de datos personales al mínimo necesario para la realización de sus finalidades; y
XI – otras actividades y toma de decisiones estratégicas referentes al tratamiento de datos personales.
Se observa que se ha producido una gran ampliación de las responsabilidades del DPO, de modo que la elección debe recaer necesariamente en un profesional capacitado, no siendo ya posible la práctica común de nombrar a un colaborador interno “por simple formalidad”. Así, se hace aún más interesante que las empresas evalúen la contratación de un DPO externo, especialmente cuando no hay en su propio cuadro de empleados un trabajador con la cualificación o disponibilidad para el ejercicio de las tareas del Encargado.
La disponibilidad, además, es otro factor importante a analizar al nombrar al DPO. Las nuevas normas exigen que el Encargado deberá evitar cualquier conflicto de intereses, que pueden surgir cuando ejerce otras funciones internamente en la empresa, o cuando acumula funciones de Encargado con aquellas relacionadas con decisiones estratégicas dentro de la organización.
Por lo tanto, siempre se recomienda que el DPO pueda dedicarse exclusivamente a las actividades relacionadas con la protección de datos personales (especialmente cuando hay un gran volumen de datos personales tratados por la empresa), a fin de reducir al máximo el riesgo de conflictos de intereses – lo que podría llevar a la aplicación de multas u otras sanciones a la empresa, en caso de ser detectado por la ANPD.
Finalmente, siempre es importante destacar que, aunque se nombre un DPO, quien es responsable del tratamiento y protección de los datos personales es la empresa, es decir: en caso de fallos en la actuación del DPO, es la organización –y no la persona nombrada– la que responderá por multas o indemnizaciones derivadas del mal uso de datos personales. Así, la elección del Encargado debe realizarse con mucho cuidado, y preferiblemente con el apoyo jurídico necesario para garantizar que se realice de conformidad con la LGPD y con las normas de la ANPD.
