Quizá no sea políticamente correcto decirlo, pero una gran mayoría de los delegados de protección de datos son de paja, es decir, no realizan un trabajo efectivo. Las autoridades de control lo saben y han iniciado una evaluación de las designaciones.
Un delegado de protección de datos tiene por misión velar por la protección de los datos personales que trata la organización y porque el sistema de información sea lo más seguro posible. Para lograrlo, necesita amplia formación y experiencia, pero también cierta autoridad dentro de la organización, la confianza de quien le designa y plena libertad de obrar. En caso contrario, fracasará.
El artículo 38 apartado 3 del RGPD dispone que el delegado de protección de datos «no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones». Se aplica indistintamente tanto al delegado de protección de datos que forma parte de la plantilla del responsable o el encargado del tratamiento como a quien desempeña sus funciones en el marco de un contrato de servicio celebrado con estos últimos, de conformidad con el artículo 37 apartado 6 del RGPD.
El objetivo de garantizar la independencia funcional del delegado de protección de datos se deduce del artículo 38 apartado 3, frases primera y tercera, de forma que el delegado de protección de datos no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones, rindiendo cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
El RGPD prevé que cada Estado miembro tiene plena libertad para establecer disposiciones específicas más protectoras en materia de destitución del delegado de protección de datos, siempre que dichas disposiciones resulten compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD.
En el caso de España, el artículo 36 apartado 2 de la LOPDGDD dispone que el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones «salvo que incurriera en dolo o negligencia grave en su ejercicio».
Conclusión
La designación otorga al delegado de protección de datos una especie de escudo protector, quedando prohibida su destitución por un motivo basado en el desempeño de sus funciones. Ocurre lo mismo con los delegados sindicales, que no pueden ser despedidos ni sancionados durante el ejercicio de sus funciones, ni dentro del año siguiente a la expiración de su mandato, salvo que sea por revocación o dimisión (artículo 68.c del ET).
En el caso del delegado de protección de datos el escudo protector se limita al mandato. Nada impide que, quien fue delegado de protección de datos, pueda ser despedido o sancionado al día siguiente de cesar en sus funciones, si bien ha de mantener el deber de confidencialidad, aún después de expirar el mandato. Es injusta la carga que se le impone, pues no conlleva una contrapartida, como el saberse protegido durante un tiempo.
Es un fallo garrafal del legislador español, que teniendo competencias para establecer salvaguardas en favor de los delegados de protección de datos, no las establece, desprotegiéndolos, en particular, a los que forman parte de la plantilla de la organización, y es que ejercer el cargo con responsabilidad puede comportar fricciones con algunos departamentos o con la misma Dirección de la organización.
La carga es doblemente injusta, pues, en ocasiones, ese deber de confidencialidad implica un pacto de no concurrencia en empresas de la competencia, por el acceso a la información que se tiene, y esto afecta tanto a delegados de protección de datos integrados en la plantilla como externos. Como regla general, los pactos de no concurrencia se compensan con una contrapartida económica, a modo de indemnización, muy habitual en los contratos de alta dirección.