Fa un temps, en aquest apunt, Joana Marí, delegada de protecció de dades i responsable de projectes estratègics de l’Autoritat Catalana de Protecció de Dades, ens presentava la figura del delegat de protecció de dades (DPD) i ressaltava la seva independència a l’hora d’exercir les seves funcions. En efecte, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes (RGPD) conté diversos preceptes que es refereixen a aquesta independència.
Així, el considerant 97 del RGPD recull expressament el caràcter independent del DPD (“Aquests delegats de protecció de dades, siguin o no empleats del responsable del tractament, han d'estar en condicions d'exercir la seva missió i les seves funcions de manera independent”) i l’article 38 del RGPD en els apartats tercer i sisè, que regulen la posició del DPD, reforça aquesta independència en assenyalar expressament que “El responsable i l'encarregat del tractament han de garantir que el delegat de protecció de dades no rebi instruccions sobre l’exercici d'aquestes tasques. El responsable o l’encarregat no el pot destituir ni sancionar per exercir les seves funcions. El delegat de protecció de dades ha de retre comptes directament al nivell jeràrquic més alt del responsable o de l’encarregat” i que “El delegat de protecció de dades pot exercir altres tasques i funcions. El responsable o l’encarregat del tractament ha de garantir que aquestes tasques i funcions no donen lloc a conflicte d'interessos”.
Al seu torn, l’article 36.2 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), disposa que “Quan es tracti d'una persona física integrada a l'organització del responsable o encarregat del tractament, el delegat de protecció de dades no pot ser remogut ni sancionat pel responsable o l'encarregat per exercir les seves funcions llevat que incorri en dol o negligència greu en el seu exercici. S'ha de garantir la independència del delegat de protecció de dades dins de l'organització, i cal evitar qualsevol conflicte d'interessos”.
Per tant, d’aquests preceptes s’infereix que els responsables del tractament i els encarregats del tractament tant en el moment de designar el DPD com durant tot el període d’exercici de les seves funcions, han de vetllar per aquesta independència i han de garantir que no hi hagi conflicte d’interessos. En altres paraules, l’absència de conflicte d’interessos està estretament lligada a l’exercici de funcions amb plena independència. Però quins criteris hem d'avaluar per determinar si hi ha conflicte d'interessos?
La Sentència de 9 de febrer de 2023 del Tribunal de Justícia de la Unió Europea
El Tribunal de Justícia de la Unió Europea (TJUE), en la Sentència de 9 de febrer de 2023 es va pronunciar expressament sobre aquest tema, amb motiu d’una qüestió prejudicial plantejada pel Bundesarbeitsgericht (Tribunal Federal del Treball, tribunal suprem d'última instància en qüestions laborals). Els fets que van derivar en la sentència del TJUE eren els següents:
- En el si d’un grup empresarial, format per tres empreses, un treballador acumulava diversos càrrecs: d’una banda, era el vicepresident del comitè central del grup empresarial i, de l’altra, era president del comitè d’empresa d’una de les tres empreses.
- A més, des del 2015, el van nomenar DPD de totes les empreses del grup, incloent-hi l’empresa matriu del grup empresarial. Segons l’òrgan jurisdiccional que va formular les qüestions prejudicials, l’objectiu d’aquesta designació com a DPD per a totes les empreses era precisament garantir un nivell uniforme de protecció de dades en aquestes empreses.
- A finals del 2017, el van destituir com a DPD de totes les empreses i el treballador va interposar una acció judicial en què sol·licitava que el tribunal declarés que el seu nomenament com a DPD continuava vigent. Per contra, l’altra part considerava que l’acomiadament era procedent, ja que hi havia risc de conflicte d’interessos si el treballador desenvolupava al mateix temps les funcions de DPD i les del comitè d’empresa.
- L’òrgan jurisdiccional de primera instància va estimar la demanda del treballador, però l’empresa va interposar un recurs de cassació davant el Bundesarbeitsgericht, qui va formular quatre qüestions prejudicials davant el TJUE.
- L’última d’aquestes qüestions es referia al conflicte d’interessos i es formulava en els termes següents: “Existeix un conflicte d'interessos en el sentit de l'article 38, apartat 6, segona frase, del RGPD quan el DPD ocupa al mateix temps el càrrec de president del comitè d'empresa constituït a l'organisme responsable? Per arribar a la conclusió que existeix tal conflicte, és necessari que se li hagin atribuït funcions particulars en el si del comitè d'empresa?”
En relació amb aquesta qüestió, el TJUE, en primer lloc, va aclarir que el RGPD no s’oposa al fet que una mateixa persona pugui desenvolupar al mateix temps, d’una banda, les funcions de DPD i, de l’altra, altres funcions com a responsable del tractament o de l'encarregat del tractament. Ara bé, el RT o ET han de vetllar perquè aquestes “altres funcions” no impliquin un conflicte d’interessos, de manera que no es pot encomanar al DPD l’execució de funcions o tasques que puguin perjudicar l’exercici de les funcions pròpies o principals que du a terme com a DPD.
En aquest sentit, afegia que el DPD té per funció, en particular, supervisar el compliment del que estats membres i les polítiques del responsable del tractament o de l'encarregat del tractament en matèria de protecció de dades personals, incloent-hi l’assignació de responsabilitats, la conscienciació i la formació del personal que participa en les operacions de tractament i les auditories corresponents. D'això deduïa el Tribunal que no es poden encomanar a un DPD funcions o tasques que el portin a determinar les finalitats i els mitjans del tractament de dades personals del RT o del seu ET. I això perquè el DPD ha d'avaluar, examinar i si s’escau “qüestionar” aquest tractament, cosa que ha d'efectuar amb total i, per tant, s’ha de garantir que pugui actuar de manera independent.
Finalment, el Tribunal va concloure que la resposta a la qüestió prejudicial era que “l'article 38, apartat 6, del RGPD s’ha d'interpretar en el sentit que hi pot haver un conflicte d'interessos, en el sentit d'aquesta disposició, quan s'encomanin a un delegat de protecció de dades altres funcions o tasques que portarien a aquest a determinar els fins i els mitjans del tractament de dades personals al si del responsable del tractament o del seu encarregat, la qual cosa pertoca determinar en cada cas al jutge nacional sobre la base de totes les circumstàncies pertinents, en particular de l'estructura organitzativa del responsable del tractament o del seu encarregat i en vista de tota la normativa aplicable, incloent-hi les eventuals polítiques d'aquests darrers”.
Al meu entendre, aquest pronunciament del TJUE el que fa és consolidar a escala jurisprudencial els criteris d’interpretació que el grup de treball de l’article 29 (avui dia, Comitè Europeu de Protecció de Dades) ja havia apuntat en les Directrius sobre els delegats de protecció de dades (DPD). Ara bé, després de quasi sis anys d’aplicació del RGPD, què succeeix a la pràctica?
Acció d'execució coordinada sobre la designació i els càrrecs dels delegats de protecció de dades (Comitè Europeu de Protecció de Dades)
Recentment, en data 16 de gener de 2024, el Comitè Europeu de Protecció de Dades ha publicat l’informe final d’una acció d'execució coordinada, sobre la designació i el càrrec dels delegats de protecció de dades que va dur a terme al llarg del 2023 conjuntament amb autoritats de control de diferents països. Entre els diferents punts que analitzava aquesta acció hi havia la qüestió relativa a la independència del DPD i els possibles riscos de conflictes d’interessos.
Els resultats de l’enquesta efectuada durant aquesta acció d’execució coordinada mostraven que:
- Fins a quinze autoritats d’un total de vint-i-cinc indicaven que era probable que els DPD es trobessin en situació de conflicte d'interessos i/o riscos manifestada pels DPD mateixos.
- En set estats membres, més del 20% dels enquestats van respondre que el DPD pertanyia a la màxima direcció, cosa que podia comportar un conflicte d’interessos.
- A alguns DPD se’ls encomanaven tasques contradictòries que els suposava actuar simultàniament en dos rols diferents. A més, l’informe ressaltava que era molt preocupant el fet que alguns dels enquestats informessin que el seu DPD rebia instruccions sobre com desenvolupar les seves funcions i tasques.
En vista d’aquests resultats, tant el Comitè com les diferents autoritats de control participants van consensuar una sèrie de recomanacions o propostes de millora:
- Ampliació de les Directrius: malgrat considerar que el terme “conflicte d’interessos” ja estava aclarit amb les directrius i la STJUE de 9 de febrer del 2023, els resultats evidenciaven que calia desenvolupar encara més les Directrius, tenint en compte també els nous rols assumits pels DPD en determinades entitats en virtut de les noves normes de la UE en el camp digital.
- Accions per part de les autoritats de control: també es concloïa que les autoritats de control havien de portar a terme més iniciatives i accions, ja que això permetria verificar que els responsables del tractament i els encarregats del tractament tenen les salvaguardes adequades en els seus procediments per garantir que el DPD no sigui responsable de dur a terme tasques que condueixin a un conflicte d'interessos.
- Accions de sensibilització: es proposava que les autoritats de control o internament les entitats mateixes efectuessin més activitats de sensibilització, informació i accions d'aplicació de la normativa sobre la independència del DPD (incloent-hi la prohibició de sancionar i acomiadar els DPD per dur a terme les tasques dels seus DPD).
- Carta de compromís: es recomanava que les entitats i els DPD formalitzessin una “carta de compromís” per fixar les tasques i condicions del DPD.
- I, finalment, es recomanava als DPD la recollida de proves en cas d'interferències amb la seva independència.
El Decret 148/2023, d'1 d'agost, sobre les persones delegades de protecció de dades de l'Administració de la Generalitat i el seu sector públic
A Catalunya, a finals d’agost del 2023, va entrar en vigor un decret pioner en tot l’Estat, el Decret 148/2023, d'1 d'agost, sobre les persones delegades de protecció de dades de l'Administració de la Generalitat i el seu sector públic, que precisament té per objecte reforçar la independència en dotar d’un règim i estatut jurídic les persones delegades de protecció de dades de l'Administració de la Generalitat i el seu sector públic institucional.
Així, en diversos preceptes, el Decret invoca aquesta independència:
- L’article 2.3 disposa que, si bé els DPD dels departaments s'adscriuen orgànicament a la secretaria general, aquesta adscripció en cap cas afecta el règim d'independència funcional de la figura del DPD.
- L’article 2.4 estableix que el DPD actua, en l'exercici de les seves funcions, amb plena independència funcional i no està subjecte a instruccions, ordres de servei i recomanacions del responsable del tractament ni de cap altre òrgan de l'organització.
- L’article 5, quan regula l’estatut personal del DPD, determina que s’ha de garantir la seva independència dins l'organització i s'ha d'evitar qualsevol conflicte d'interessos.
- L’article 6.3 regula expressament que el DPD no es pot remoure ni sancionar per l'exercici de les seves funcions, llevat que incorri en dol o negligència greu en aquest exercici.
- L’article 7 determina que no poden acumular-se les funcions de delegat o delegada de protecció de dades a altres llocs de treball amb funcions que impliquin la participació en la presa de decisions sobre l'existència de tractaments de dades o sobre la manera en què aquestes dades s'han de tractar. I garanteix l’absència de conflicte, en exigir que amb caràcter previ a l’atribució de funcions de caràcter parcial es disposi d'un informe favorable sobre la inexistència de les situacions de conflicte d'interès. Aquest informe ha de ser emès conjuntament per la unitat directiva competent en matèria de coordinació interdepartamental i suport en matèria de protecció de dades i per la unitat directiva competent en matèria de bon govern.
- I l’article 8.2, quan defineix les funcions de la Comissió de Coordinació de Protecció de Dades, en concret la de vetllar per la coordinació i l'homogeneïtat en l'aplicació de criteris d'actuació en l'exercici de les funcions assignades als delegats de protecció de dades en l'àmbit d'aquest Decret, disposa que ho ha de fer respectant la independència dels delegats en l'exercici de les funcions.
Tots aquests elements són un pas important per avançar en la independència del DPD. Però més enllà del literal de la norma, cal que aquesta sigui aplicada en el sentit i els objectius als quals aspira el legislador. En aquesta línia, és essencial que el DPD pugui assessorar i donar la seva opinió lliurement i sobre la base dels fets i dels seus coneixements especialitzats, sense cap classe de condicionant. Recordem que la decisió última sobre com dur a terme una determinada activitat del tractament correspon, sempre, al responsable o a l'encarregat del tractament.