Desde la publicación de la Ley General de Protección de Datos, en 2018, había muchas expectativas respecto a la regulación de la actuación del Encargado del Tratamiento de Datos (el famoso "DPO"). La norma fue finalmente publicada en el mes de julio de 2024 por la Autoridad Nacional de Protección de Datos – ANPD (Resolución CD/ANPD nº 18, de 16 de julio de 2024), abordando puntos muy importantes sobre la designación del encargado, sus deberes y atribuciones legales, y sobre conflictos de intereses.
Inicialmente, debemos recordar que el nombramiento de un DPO no es obligatorio para las microempresas, pequeñas empresas yempresas emergenteslos llamados "agentes de tratamiento de pequeño tamaño". Sin embargo, si la empresa realiza actividades de alto riesgo para datos personales (con uso intensivo de datos, tratamiento de datos que pueda afectar derechos fundamentales, o mediante tecnologías emergentes o innovadoras, como la inteligencia artificial, por ejemplo), deberá nombrar un DPO aunque sea considerada una pequeña empresa, y esto solo puede ser descubierto mediante unevaluaciónrealizado por una consultoría jurídica especializada.
Para las empresas obligadas a nombrar un Encargado, existen diversos cuidados que deberán ser observados para cumplir con las nuevas reglas dictadas por la ANPD. El primero de estos cuidados se refiere a la propia forma en que se nombra al DPO. Según la nueva sistemática, es obligatorio que la designación se realice mediante un documento escrito, fechado y firmado, documento que deberá ser presentado a la ANPD en caso de solicitud en ese sentido. Estas formalidades también deberán ser observadas en la designación del sustituto que actuará en las ausencias del DPO (como vacaciones o ausencias por motivos de salud). La recomendación de la ANPD es que ese "acto formal" sea, por ejemplo, un contrato de prestación de servicios (en caso de que el DPO sea externo a la organización), pero también puede hacerse mediante aditivo al contrato de trabajo en caso de que el Encargado sea un empleado que actúa bajo el régimen de la CLT.
Además, la empresa debe “establecer las cualificaciones profesionales necesarias para desempeñar las funciones del responsable”, lo que también se recomienda que se haga mediante un acto formal (como una política interna), garantizando así que se designe a una persona con conocimientos adecuados en materia de protección de datos personales y seguridad de la información.
Un punto muy importante del nuevo reglamento, de hecho, es que autoriza a que el DPO sea tanto una persona física (que puede ser parte del personal de la empresa, o externa a ella) como una persona jurídica, poniendo fin a una duda respecto a la actuación de las empresas especializadas enDPO como servicio.
Independientemente de la naturaleza jurídica del DPO, la norma exige que su identidad y datos de contacto se revelen de forma adecuada (preferiblemente en el sitio web de la empresa), indicando el nombre completo (si se trata de una persona física) o la razón social y el nombre de la persona física responsable (en caso de una persona jurídica); además de los datos mínimos de contacto (como correo electrónico y teléfono), que permiten la recepción de comunicaciones de los titulares o de la ANPD.
En cuanto a las actividades del DPO, la norma aporta una serie de nuevas atribuciones, en particular la de proporcionar asistencia y orientación a la dirección de la empresa sobre:
I – registro y reporte de incidentes de seguridad;
II – registro de operaciones de tratamiento de datos personales;
III – informe sobre el impacto en la protección de datos personales;
IV – mecanismos internos de supervisión y mitigación de riesgos relacionados con el tratamiento de datos personales;
V – medidas de seguridad técnicas y administrativas capaces de proteger los datos personales contra accesos no autorizados y la destrucción, pérdida, alteración, comunicación accidental o ilícita o cualquier forma de tratamiento inadecuado o ilícito;
VI – procesos y políticas internas que aseguren el cumplimiento de la Ley nº 13.709, de 14 de agosto de 2018, y de la normativa y directrices de la ANPD;
VII – instrumentos contractuales que regulan cuestiones relacionadas con el tratamiento de datos personales;
VIII – transferencias internacionales de datos;
IX – reglas de buenas prácticas y programa de gobernanza y gobernanza de la privacidad, de conformidad con el art. 50 de la Ley Nº 13.709, de 14 de agosto de 2018;
X – productos y servicios que adopten estándares de diseño compatibles con los principios establecidos en la LGPD, incluida la privacidad por defecto y la limitación de la recogida de datos personales al mínimo necesario para alcanzar sus finalidades; y
XI – otras actividades y toma de decisiones estratégicas respecto del tratamiento de datos personales.
Se verifica que hubo una gran ampliación en las responsabilidades del DPO, de modo que la elección debe recaer necesariamente en un profesional capacitado, ya no siendo posible la práctica común de nombrar a un colaborador interno "por simple formalidad". Por lo tanto, resulta aún más interesante que las empresas consideren la contratación de un DPO externo, especialmente cuando no cuentan con un empleado en su plantilla con la cualificación o disponibilidad para desempeñar las tareas del Encargado.
La disponibilidad, por cierto, es otro factor importante a analizar al nombrar al DPO. Las nuevas reglas exigen que el Encargado evite cualquier conflicto de intereses, que pueden surgir cuando ejerce otras funciones internamente en la empresa, o cuando acumula funciones de Encargado con aquellas relacionadas con decisiones estratégicas dentro de la organización.
Por lo tanto, siempre se recomienda que el DPO pueda dedicarse exclusivamente a actividades relacionadas con la protección de datos personales (especialmente cuando existe un gran volumen de datos personales tratados por la empresa), con el fin de minimizar el riesgo de conflictos de intereses – que pueden dar lugar a la aplicación de multas u otras sanciones a la empresa, si son detectados por la ANPD.
Finalmente, siempre es importante destacar que, aunque haya la designación de un DPO, quien es responsable del tratamiento y protección de los datos personales es la empresa, es decir: en caso de fallos en la actuación del DPO, es la organización – y no la persona nombrada – la que responderá por multas o indemnizaciones derivadas del mal uso de datos personales. Por lo tanto, la elección del Encargado debe realizarse con mucho cuidado y preferiblemente con el apoyo jurídico necesario para garantizar que se lleve a cabo en conformidad con la LGPD y las reglas de la ANPD.
