viernes, 1 de mayo de 2026

RECOMENDACIONES SOBRE INFORME DE LAS ACTIVIDADES DEL DELEGADO DE PROTECCION DE DATOS PERSONALES - CNIL FRANCIA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

PLAN DE ESTUDIOS

El informe de actividad del DPO, propuesto por la CNIL como buena práctica, se configura como un instrumento jurídico clave para materializar el principio de responsabilidad del RGPD (art. 5.2), al evidenciar de forma documentada la gestión activa de riesgos y el seguimiento de la conformidad.

La CNIL no lo toma como obligación legal, sino herramienta recomendada para cumplir el mandato del art. 39 RGPD, que exige al DPO informar al responsable del tratamiento en el cumplimiento del reglamento y de otras normas de protección de datos. Su valor radica en transformar la función de asesoría del DPO en un flujo de rendición de cuentas hacia la dirección de nivel superior, conforme al art. 39.1.b).

Cuatro aportes jurídicos específicos lo distinguen de otros documentos de cumplimiento:

·   Diagnóstico sistemático : Mapea tratamientos y proyectos relevantes, permitiendo identificar infracciones potenciales antes de materializarse (art. 35).

·   Evaluación de riesgos : Cuantifica impactos jurídicos, financieros y reputacionales, alineándose con el deber de priorización de riesgos del art. 32.

·   Prueba de diligencia : Documenta tratamientos ya adoptadas o en curso, fortaleciendo la defensa en eventuales procedimientos sancionadores (art. 83).

·  Plan de acción correctiva : Identifica obstáculos y asigna responsables/plazos, configurándose como hoja de ruta ejecutiva para la mejora continua.

Desde el arte. 24 RGPD (responsable del tratamiento), el informe obliga a la dirección a posicionarse sobre las recomendaciones del DPO, integrando la protección de datos en la estrategia corporativa. La periodicidad anual recomendada por la CNIL operativiza el deber de “cooperación” (art. 39.1.d) y genera un historial probatorio útil ante inspecciones o cambios de DPO.

Más allá de la dirección, exhorta su adaptación al personal reforzando el deber de sensibilización continua (Considerando 78 RGPD), convirtiéndolo en soporte para tareas de formación y de cultura organizacional de cumplimiento ante las autoridades.

Doctrinalmente, el informe colma una laguna del RGPD: mientras el reglamento prioriza obligaciones estáticas (designación, registros), la CNIL introduce un mecanismo dinámico de gobernanza que evita la inercia post-designación del DPO. Su elaboración progresiva como “documento vivo” se alinea con el carácter evolutivo de los riesgos digitales, recomendándose su vinculación con el Registro de Actividades de Tratamiento (art. 30) para mayor robustez probatoria.

En síntesis, el informe no es un mero reporte administrativo, sino un acto jurídico que operativiza la responsabilidad ( accountability ), fortalece la posición del DPO en la organización y anticipa exigencias de las autoridades de control en materia de trazabilidad y mejora continua.

El documento de la CNIL fue traducido del francés al castellano por el suscrito con la ayuda del aplicativo Google Translator, el enlace al texto original es: https://www.cnil.fr/fr/rapport-activite-dpo

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas positivas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

________________________________________________________

Informe de actividades del Delegado de Protección de Datos: guiar el cumplimiento normativo y valorizar sus acciones.

27 de abril de 2026

El informe de actividades del delegado de protección de datos (DPD), recomendado por la CNIL (Autoridad Francesa de Protección de Datos), contribuye a guiar el cumplimiento normativo y permite al DPD de informar de su actividad a la dirección. Para facilitar su elaboración, la CNIL propone un modelo.


Una buena práctica recomendada

El delegado de protección de datos (DPD), no está obligado a redactar un informe de actividades. Sin embargo, es una buena práctica, recomendada por la CNIL (Comisión Nacional de Informática y Libertades de Francia), y forma parte de sus funciones.

El informe de actividad tiene varias ventajas:

  • Participa directamente en la gestión del cumplimiento normativo y permite informar al más alto nivel de la dirección de la organización;
  • Permite evaluar y supervisar a lo largo del tiempo el nivel de madurez de la organización en materia de protección de datos;
  • Puede adaptarse para comunicar, tanto interna como externamente, sobre el cumplimiento normativo.

Una herramienta esencial para gestionar el cumplimiento normativo.

Ya sea trimestral, semestral o anual (dependiendo de las actividades de la organización), el informe de actividades tiene como objetivo:

  • realizar "diagnósticos  " sobre los principales tratamientos y proyectos de alto riesgo de la organización, calculando en el registro de actividades de procesamiento, análisis de impacto, resultados de auditorías, violaciones de datos, quejas, etc.;
  • evaluar los riesgos para la organización  a nivel legal, financiero y reputacional;
  • documentar las medidas  adoptadas o en curso para cumplir con las normativas (por ejemplo, mejorar las menciones informativas o las cláusulas contractuales) y para promover la adopción de prácticas de protección de datos (por ejemplo, reforzar las medidas de seguridad técnicas y organizativas, organizar sesiones de sensibilización para el personal, implementar procedimientos para gestionar las violaciones de datos y las solicitudes para ejercer derechos);
  • Identificar los obstáculos y definir las medidas que deben implementarse  para mejorar el nivel de protección de datos personales y permitir que la organización madure.

Su redacción es también la ocasión para plantear preguntas esenciales:

  • ¿Se han llevado a cabo las acciones prioritarias? ¿Qué queda por revisar o mejorar?
  • ¿Cuáles son los tratamientos o proyectos que requieren atención especial? ¿Qué riesgos suponen para las personas implicadas? ¿Qué medidas de mitigación deben aplicarse?
  • ¿Las medidas técnicas y organizativas implementadas por la organización son las más adecuadas a los desafíos de los tratamientos? ¿Son suficientes los recursos destinados?

El informe de actividad constituye, así, una verdadera pantalla de control que garantiza el historial de las acciones realizadas, en particular en caso de un cambio de DPO.

Una herramienta para informar sobre acciones de cumplimiento.

Con respecto a la dirección de la organización

El Reglamento General de Protección de Datos, RGPD sí estipula que el DPO debe rendir cuentas al  nivel más alto de la dirección. El informe permite, así de presentar, al menos una vez al año:

  • un panorama completo de sus actividades, opiniones y recomendaciones;
  • indicadores claves en materia de protección de datos (número de solicitudes para el ejercicio de derechos y tiempos de respuesta, número de filtraciones de datos, plantillas de documentos elaborados, etc.)

Por lo tanto, la organización para la cual trabaja el DPO como responsable de protección de datos puede solicitarle que elabore informes de actividad sin que ello comprometa su independencia.

Siempre que sea posible, la CNIL recomienda una presentación formal del informe a la ocasión de alguna reunión. Esto brinda una valiosa oportunidad para que el responsable de protección de datos y la dirección analicen el nivel de cumplimiento de la organización.

Presentar y compartir el informe de actividad le permitirá:

  • demostrar el grado de compromiso  en el cumplimiento de sus funciones, el progreso realizado por la organización (gobernanza general, racionalización de la gestión de datos y cumplimiento del procesamiento), así como los beneficios resultantes,  en particular los económicos  (por ejemplo, mejora de su seguridad jurídica e informática, clima social interno, reputación con clientes o usuarios);
  • resaltar las eventuales dificultades encontradas y solicitar los recursos necesarios para continuar sus misiones en condiciones satisfactorias  (por ejemplo, capacitación, membresía en una asociación profesional, mayor apoyo político, tiempo dedicado al ejercicio de la función, etc.).

Con respecto al personal de la organización

El informe anual de actividades del DPO también sirve como soporte de sensibilización para los órganos representativos de los empleados y el personal:

  • Refuerza la visibilidad;
  • Destaca las acciones emprendidas y las que se continuarán.

Por lo tanto, se recomienda reiterar algunos elementos claves del informe preparado para la gerencia, con el fin de:

  • compartir lo más ampliamente posible los avances logrados, así como el "trabajo que aún queda por hacer" en materia de protección de datos;
  • proponer un momento para el debate colectivo sobre los temas relacionados y recordar a todos los recursos disponibles (datos de contacto del DPO, plantillas de avisos informativos, procedimientos a seguir en caso de violaciones de datos o ejercicio de derechos, etc.).

Una acción de este tipo merece ser organizada con el soporte activo y visible del más nivel de la jerarquía. De hecho, forma parte de la función principal del responsable de protección de datos: promover la difusión y asimilación de una cultura de protección de datos dentro de la organización.

¿Cómo preparar tu informe de actividades?

El DPO tiene  una gran libertad con respecto a:

  • la fecha de elaboración de su primer informe y los informes subsiguientes  (un año después de la fecha de la  toma de posesión del puesto, al comienzo del año calendario, año civil o en el momento de la elaboración de los presupuestos anuales, donde se determinan los riesgos y objetivos de la organización);
  • su formato, estructura y contenido, que variarán según el tamaño del organismo, su naturaleza, el volumen de tratamientos aplicados y los problemas involucrados.

Recomendamos redactar su informe teniendo en cuenta su doble función como herramienta de gestión y comunicación. Asimismo, la organización que lo designó como Responsable de Protección de Datos (RPD) puede dirigirle algunas consignas específicas.

Mejores prácticas

  • El informe de actividades debe considerar un documento vivo, que va a desarrollarse gradualmente, no de una sola vez, sino a lo largo del tiempo, según la evolución de las actividades del Delegado de Protección de Datos (DPO, por sus siglas en inglés) (contribuyendo progresivamente dentro de una estructura predefinida, clasificando las acciones por tipo de actividad: «sensibilización», «asesoramiento», «seguimiento», etc.). Esto evitará una sobrecarga de trabajo al final del año y posibles omisiones. El informe también puede servir de base para las reuniones intermedias del DPO con la organización que lo designó.
  • Apoyarse sobre la herramienta proporcionada por la CNIL para monitorear el progreso de su organización  en materia de madurez en protección de datos.  Puede aprovechar los elementos de evaluación y las acciones que se enumeran en ella: ¿dónde estamos ahora?, ¿adónde queremos llegar?, ¿cuándo y cómo?
  • Redactar el informe de forma clara y concisa e incluir, en la medida de lo posible, elementos numéricos, visuales y gráficos  que faciliten la lectura: histogramas, tablas, cronogramas, colores asociados a diferentes niveles de progreso, etc.
Nota   : La mayoría de software de gestión del cumplimiento del RGPD incluyen módulos de generación de informes o reporting    para   facilitar la producción de cifras. Dada su especial importancia, algunos de los datos subrayados pueden incluirse como anexos o acompañados de enlaces a los archivos donde se almacenan (por ejemplo, copias de comunicaciones con la CNIL, resúmenes de DPIA - evaluaciones de impacto- , etc.).

Un modelo para guiarte

Para facilitar la elaboración de un informe de actividad, la CNIL ofrece una plantilla (formato ODT).  Si bien no es jurídicamente vinculante, constituye una base útil para estructurar una presentación destinada a la dirección.

Este modelo puede ser adaptado a las necesidades del DPO:

  • en función de las características específicas de cada organización (tamaño, recursos, naturaleza de sus actividades, volumen y sensibilidad de los  tratamientos, prácticas internas  de informes,  etc.);
  • mediante la mutualización de ciertas partes cuando se participa en varias estructuras (por ejemplo, en el contexto de un DPO compartido);
  • distinguiendo, si es necesario, los tratamientos realizados comode aquellos llevados a cabo como ;
  • elaborando versiones simplificadas o derivadas, destinadas a una distribución más amplia, en particular entre los empleados.

Descargue la plantilla del informe de actividad.

Texto de referencia

Para profundizar

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)