Incompatibilitats i conflictes d'interessos entre el DPO i el RSII segons els criteris de l'AEPD

1. Resum de la decisió i de les infraccions del RGPD identificades per l'AEPD

La decisió en el procediment sancionador relatiu a l'expedient núm. EXP202316729[1], tramitat per l'Agència Espanyola de Protecció de Dades (AEPD), destaca dos aspectes clau que són especialment rellevants des de la perspectiva del compliment normatiu. D'una banda, la violació de dades que va exposar dades personals i, d'altra banda, l'existència d'un conflicte d'interessos dins l'estructura de govern del Consell Provincial, derivat de l'acumulació de funcions per part del Delegat de Protecció de Dades (en endavant, «DPO»):

• Incident de seguretat i infracció de l'article 5, paràgraf 1, lletra f), del RGPD. L'AEPD considera provat que la bretxa es va produir perquè el Consell Provincial no havia implementat prèviament controls tècnics i organitzatius suficients per evitar l'accés no autoritzat a la carpeta SPEIS. La configuració dels permisos permetia al personal de diverses casernes de bombers accedir i descarregar documents l'ús dels quals s'hauria d'haver restringit al personal administratiu i directiu del servei. L'Agència considera que, amb les mesures adequades, la bretxa «no s'hauria produït», i, per tant, la manca de mesures preventives constitueix una infracció directa de l'article 5, paràgraf 1, lletra f), del RGPD. Tot i que el Consell Provincial va reaccionar ràpidament un cop es va detectar l'incident, bloquejant l'accés, iniciant investigacions internes i notificant l'AEPD i les persones afectades, aquestes accions van ser de caràcter reactiu i no neguen l'existència de la infracció, ja que l'accés no autoritzat ja havia tingut lloc.
• Conflicte d'interessos i incompliment de l'article 38 del RGPD. L'aspecte més significatiu de la resolució és la constatació d'un conflicte d'interessos pel que fa al paper del Delegat de Protecció de Dades. El Consell Provincial havia nomenat el seu DPD també com a Cap del Sistema d'Informació Intern (RSII), un càrrec que implica la gestió de les queixes internes, la presa de decisions operatives sobre el seu tractament i l'accés a les dades personals tractades durant la tramitació dels casos, funcions que afecten directament les finalitats i els mitjans del tractament i són incompatibles amb la supervisió independent que requereix l'article 38 del RGPD. L'Agència assenyala que la mateixa Delegada de Protecció de Dades va advertir de la possible incompatibilitat, fet que va portar el Consell Provincial a consultar formalment l'AEPD. No obstant això, el Consell Provincial va mantenir el doble càrrec fins després de l'inici del procediment, sense dur a terme una avaluació de riscos prèvia per garantir l'absència de conflicte d'interessos.

2. Conflicte d'interessos entre funcions

Un cop exposats els elements generals de la decisió, val la pena analitzar com l'AEPD avalua la independència del DPD quan les seves funcions es relacionen amb el Sistema Intern de Denúncies (d'ara endavant, «SID») previst a la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informen d'infraccions normatives i de la lluita contra la corrupció.

Concretament, l'Agència examina com certes tasques operatives poden afectar l'autonomia que requereix el RGPD i quins criteris són rellevants per identificar possibles conflictes d'interessos d'acord amb l'article 38 d'aquesta normativa.

Els punts clau del raonament jurídic de l'AEPD per avaluar aquest conflicte d'interessos són els següents:

• Avaluació funcional, no nominal. L'AEPD insisteix que la compatibilitat s'ha d'avaluar sobre la base de les funcions reals, no del títol formal del càrrec. En aquest cas, la gestió de l'SII implicava prendre decisions sobre com es gestiona la informació, com es processa la dada que s'introdueix al sistema i quan s'ha de remetre a òrgans interns o externs. Totes aquestes decisions influeixen directament en els fins i els mitjans del tractament, un aspecte clau de l'anàlisi d'incompatibilitat segons les Directrius de l'antiga Grup de Treball article 29 (WP243) i la jurisprudència del Tribunal de Justícia de la Unió Europea (assumpte C-453/21).
• El DPD no pot supervisar allò que també gestiona. El RGPD exigeix que el DPD mantingui una posició neutral i de supervisió, actuant com a garant del compliment. Si, alhora, és qui gestiona operativament una operació de tractament (com ara el canal intern), el seu poder de supervisió queda anul·lat. L'AEPD ho resumeix clarament: el DPD no pot ser alhora jutge i part en el mateix sistema de tractament. Aquesta incompatibilitat s'agreuja en el cas d'un sistema que implica dades especialment sensibles i decisions sobre mesures disciplinàries o accions legals. A més, l'AEPD cita la redacció de l'article 8.4 de la Llei 2/2023, que estableix el següent: «El delegat de protecció de dades ha de dur a terme les seves funcions de manera independent i autònoma respecte de la resta d'òrgans de l'organització o organisme; no pot rebre instruccions de cap mena en l'exercici de les seves funcions; i ha de disposar de tots els recursos humans i materials necessaris per dur-les a terme».
• Manca de garanties i absència d'anàlisi prèvia. L'Agència assenyala que és responsabilitat exclusiva de l'organització, i no del DPD, demostrar que les funcions addicionals no generen un conflicte d'interessos. Això requereix una anàlisi prèvia, documentada i basada en criteris objectius. El Consell Provincial no va dur a terme aquesta anàlisi, ni va establir garanties internes (per exemple, normes sobre abstenció, límits funcionals, separació d'accés) que haurien permès avaluar i, si s'escau, mitigar el risc. Aquesta absència de mesures és decisiva per concloure que es va infringir l'article 38 del RGPD.
• Independència substancial versus independència formal. L'AEPD rebutja la idea que la independència del DPD es pugui garantir únicament per elements formals, com ara informar al nivell jeràrquic més alt o no tenir dret a vot en determinats comitès, si en la pràctica duen a terme funcions que els situen dins del circuit operatiu que han d'auditar. La independència, assenyala l'Agència, és substancial, pràctica i verificable, no només declarativa.

Cal destacar que l'AEPD afirma en la resolució esmentada que «En resposta a la qüestió plantejada pel mateix DPO sobre la possible incompatibilitat, es va presentar una consulta a l'AEPD, mentre es mantenia el nomenament del DPO a l'espera d'una resposta. Aquesta consulta es va resoldre el 25 de febrer de 2025, concloent que no era possible assignar les funcions de controlador del sistema d'informació intern al DPO».

En altres paraules, l'AEPD ja havia dictaminat sobre aquest cas concret, concloent en una consulta anterior que el fet que la mateixa persona exercís ambdós càrrecs creava una incompatibilitat d'acord amb els termes establerts en la normativa aplicable.

Finalment, cal esmentar les referències fetes tant pel Consell Provincial com per l'AEPD a l'informe d'aquesta darrera 2018-0170[2] en què aquest últim va analitzar la compatibilitat entre el DPO i el responsable de seguretat en l'àmbit de l'ENS, concloent —en resum— que, com a regla general, ha d'existir la separació necessària entre el responsable de protecció de dades regulat pel RGPD i el responsable de seguretat de l'ENS, i que les seves funcions no han de ser exercides per la mateixa persona o òrgan col·legiat; només poden ser exercides per la mateixa persona en el cas d'organitzacions petites i/o amb recursos limitats, sempre que s'adoptin les mesures tècniques i organitzatives necessàries per evitar qualsevol conflicte d'interessos potencial que pugui sorgir en l'exercici de les seves funcions respectives.

3. Conclusió

En conclusió, cal assenyalar que la resolució de l'AEPD ofereix una orientació clara sobre la importància de tenir mesures preventives sòlides i de garantir que el Delegat de Protecció de Dades mantingui una independència real en l'exercici de les seves funcions.

El cas demostra que certes combinacions de rols poden donar lloc a incompatibilitats que no sempre són evidents a primera vista, especialment quan impliquen tasques operatives o de presa de decisions, i que, mitjançant la realització de l'anàlisi prèvia adequada i l'adopció de les mesures oportunes per garantir la gestió correcta dels conflictes d'interessos, pot ser factible conciliar les funcions de tots dos rols.

La interpretació de l'AEPD reforça la necessitat de revisar el marc de compliment intern i de documentar adequadament l'assignació de funcions, amb l'objectiu de garantir un model de governança que sigui sòlid, transparent i alineat amb el RGPD. Al mateix temps, l'Agència assenyala que aquestes situacions s'han d'avaluar mitjançant una anàlisi detallada dels rols i s'han d'examinar cas per cas, tenint en compte les característiques específiques de cada organització i l'abast real de les funcions que es duen a terme.

Això significa que, com a regla general, el càrrec de Delegat de Protecció de Dades no pot ser exercit pel Cap del Sistema d'Informació Intern i viceversa, tret que l'anàlisi realitzada sobre la manca de mitjans i recursos, la possible incompatibilitat existent i els mecanismes desplegats per evitar que l'assumpció de tots dos càrrecs interfereixi en el seu funcionament adequat estigui degudament fonamentada i justificada.

Finalment, cal deixar clar que l'AEPD no suggereix en cap moment l'existència d'incompatibilitat entre el rol de l'Oficial de Compliment Normatiu i el del DPD, ja que l'Oficial de Compliment Normatiu és un rol completament diferent del de la persona responsable del canal de denúncies. Tot i que són dos càrrecs que ocasionalment podrien entrar en conflicte, un conflicte d'aquestes característiques es podria gestionar adequadament adoptant mesures i controls substantius oportuns, sempre que ambdues funcions s'exerceixin dins de la segona línia de defensa.