Autoridad polaca sanciona a entidad financiera por incumplir independencia del DPO y falta de evaluación de riesgos

🧩 Detalles del caso (DKN.5112.14.2022)

• Quién: entidad financiera polaca que emplea perfilado automatizado para decisiones de crédito.
• Qué: la UODO detectó tres incumplimientos principales durante una inspección ex oficio:

1. El DPO no contaba con independencia real: estaba subordinado al director de seguridad, no al nivel directivo.
2. El registro de actividades no incluía el perfilado, pese a ser central para la evaluación de crédito.
3. No se realizó un AIPD previo, violando obligaciones del GDPR, dada la naturaleza de alto riesgo de la actividad.

👩‍⚖️ Resultado: se impusieron dos multas: ~€60 000 por la falta de independencia del DPO (art. 38 (3) GDPR), y ~€72 000 por fallos en registros y AIPD (art. 30, 35 GDPR) 

🚨 ¿Por qué es relevante para los DPO?

1. Independencia del DPO: el GDPR exige que el DPO reporte directamente a la alta dirección y no reciba instrucciones. Su rol debe ser autónomo para supervisar el cumplimiento normativo.
2. Registro exhaustivo: las actividades de perfilado, decisivas en tratamientos automatizados, deben reflejarse claramente en el registro de actividades (art. 30 GDPR).
3. Análisis de impacto (AIPD): cuando hay procesamiento de alto riesgo (como perfilado para crédito), es obligatorio realizar un AIPD antes de iniciar el tratamiento (art. 35 GDPR).

🧠 Reflexión del DPO: : independencia, transparencia y anticipación como pilares transversales

Este caso en Polonia no solo es relevante para quienes aplican el Reglamento General de Protección de Datos (GDPR) en Europa. También ofrece aprendizajes clave para los países latinoamericanos que han fortalecido o están en proceso de modernizar sus marcos normativos en protección de datos personales.

Uno de los aspectos más destacados es la importancia de la independencia del Delegado de Protección de Datos (DPO). El GDPR establece que el DPO debe actuar con autonomía, sin recibir instrucciones sobre el desarrollo de sus funciones y con un canal directo hacia el nivel más alto de la dirección. En este caso, la subordinación jerárquica del DPO al área de seguridad limitó su capacidad real de ejercer control, lo que fue considerado una infracción sancionable.

Asimismo, la omisión del registro de actividades de tratamiento y la falta de evaluación de impacto para una actividad de alto riesgo como el perfilado automático de clientes, muestran cómo la falta de documentación y análisis proactivo puede derivar en sanciones graves.

¿Cómo aplica esto en Latinoamérica?

A continuación, se presenta un análisis comparado con respecto a los marcos normativos en Chile, Ecuador, Colombia y Perú:

🇨🇱 Chile – Ley N° 21.719

• Aunque aún en fase de implementación (entra en vigencia en diciembre de 2026), la nueva ley establece la figura del Encargado de Protección de Datos, con funciones similares al DPO.
• La ley contempla el principio de responsabilidad proactiva y obliga a mantener registros, además de realizar evaluaciones de impacto en casos de tratamiento de alto riesgo (art. 15).
• La independencia funcional aún no está plenamente definida, por lo que casos como el polaco sirven como guía práctica sobre cómo estructurar el rol internamente.

🇪🇨 Ecuador – Ley Orgánica de Protección de Datos Personales (LOPDP)

• En vigor desde 2021, obliga a nombrar un Delegado de Protección de Datos (DPD) en ciertas organizaciones (art. 43).
• Se exige independencia del DPD y acceso directo a la alta dirección.
• El DPD debe supervisar el cumplimiento de la ley, mantener registros y coordinar evaluaciones de impacto cuando el tratamiento implique alto riesgo para los derechos de los titulares (art. 42 y 44).

🇨🇴 Colombia – Ley 1581 y regulación complementaria

• Aunque la figura del DPO no está expresamente regulada, la Superintendencia de Industria y Comercio (SIC) exige que haya un responsable interno claro de cumplimiento.
• Se exige el mantenimiento de un Manual Interno de Políticas de Tratamiento y principios de seguridad y confidencialidad.
• Aunque no se requiere AIPD de forma obligatoria, sí se exige una evaluación de riesgos en casos sensibles (por ejemplo, bases masivas, datos biométricos, etc.).

🇵🇪 Perú – Ley 29733 y su reglamento

• Tampoco contempla expresamente la figura del DPO, pero sí exige responsabilidades claras dentro de las entidades.
• Se requiere registro de bancos de datos ante la autoridad (APDP), y se promueve el principio de seguridad, calidad y finalidad.
• Las evaluaciones de impacto no son exigidas aún de forma sistemática, pero el caso polaco demuestra que es una buena práctica que puede anticipar sanciones.

🎯 Conclusión para la región

Este caso reafirma que un DPO sin autonomía o sin acceso a información crítica no puede cumplir su función de garante. Aunque la exigencia formal del DPO varía entre países latinoamericanos, el principio subyacente es común: la protección de los datos debe gestionarse con anticipación, con registros claros y evaluaciones previas al tratamiento.

Además, este ejemplo europeo demuestra que los modelos de perfilado automático y toma de decisiones basadas en algoritmos deben estar documentados, evaluados y controlados desde una perspectiva de riesgo, incluso si la ley local aún no lo exige formalmente.