El ClickDatosestá adquiriendo un papel importante debido a la gravedad de que en un organismo de tal envergadura haya brechas de seguridad. Son varias las medidas que el RGPD interpone para evitar la violación de la seguridad de los datos y proteger la información, sensible o no, de las personas físicas. ¡Te lo contamos!
El DPO en la Administración Local
De acuerdo con la AEPD, es necesario que se configuren medidas activas de responsabilidad a los responsables del tratamiento de datos. El Reglamento Europeo de Protección de Datos así lo recoge, de manera que distingue diversas partes: análisis de riesgos, protección de datos desde el diseño, análisis de riesgos, notificar las violaciones de seguridad, protección de datos por defecto y desde el diseño y finalmente, la figura de la que venimos hablando: el Delegado de Protección de Datos.
El Delegado de Protección de Datos (Data Protection Officer) o DPO es clave en el RGPD. En los ayuntamientos es el guardián de nuestros datos, así como la figura que protege que se cumpla la normativa de desarrollo del RGPD, pero sin sustituir las funciones de las Autoridades de Control. Es decir, es el como el Rey del castillo que no por ello deja de necesitar a los funcionarios de su curia.
¿Qué requisitos debe tener el Delegado de Protección de Datos en los Ayuntamientos?
El Delegado de Protección de Datos en los Ayuntamientos no tiene por qué ser jurista. Y si lo es, no es suficiente con dicho conocimiento. Para ser DPO, lo que tendrías que saber es mucho sobre protección de datos para informar y asesorar, así como supervisar que se cumple el reglamento, pero también tener conocimientos de informática.
Además, el DPO podrá ser externo o interno y persona física o jurídica, no se hace discriminación en este aspecto. Pero de ser un servicio externo sería una garantía extra de independencia para las funciones de supervisión. Y de ser interno, sería un órgano de control como por ejemplo, la intervención municipal.
La necesidad de acreditar el DPO ha hecho que en España empiecen a surgir «escuelas de DPO». Estas son las únicas que pueden librar títulos habilitantes. Así, se garantiza que haya menos desconocimiento sobre protección de datos en organismos tan importantes.
¿Es fundamental el DPO en la Administración Local?
Con respecto a esta pregunta, no hay duda alguna. El DPO en la Administración Local es obligatorio. El artículo 37 del RGPD lo incluye como obligatorio en supuestos como cuando el tratamiento lo realice una autoridad u organismo público, como ocurre en los Ayuntamientos. Ten en cuenta que los órganos que son competentes tienen una composición política, además de contar con la condición de autoridad. Además de que son siempre organismos públicos.
El concepto de organismo público, según se entiende en el RGPD, se asimila a la perfección al del sector público. Así podemos verlo también en letes de derecho público como las de contratos o la de régimen jurídico. De este modo, podemos ver cómo la obligación de DPO se extiende a los entes dependientes, como lo son las sociedades mercantiles y las fundaciones.
El RGPD es coherente en este aspecto, pues podemos ver cómo incluye un régimen uniforme en el tratamiento de datos que resulte procedente, ya sea de forma directa o indirecta, en una entidad que resulte responsable a la hora de prestar un servicio de carácter público, como son los Ayuntamientos.
Aspectos para configurar el DPO en las Entidades Locales
Ahora que sabemos que un DPO en la Administración Local es siempre obligatorio, tenemos que considerar los diferentes aspectos a la hora de configurarlo dentro de una Entidad Local.
1. El nombramiento de un DPO
El primer aspecto a tener en cuenta es el hecho en sí de que los Ayuntamientos tienen la obligación de nombrar la figura del DPO. Como hemos visto, este nombramiento es obligatorio en las entidades de tipo provincial (Consejos y Cabildos, Diputaciones), así como en Ayuntamientos, ya sean de gran tamaño o de localidades medianas.
Respecto a esta cuestión, no cabe duda que las entidades, incluso las más pequeñas, tienen un tamaño y un volumen de gestión que hace que esta figura sea imprescindible en su plantilla. El DPO deberá actuar, no obstante, de manera independiente, por lo que su puesto no debe someterse a la jerarquización, pues se trata de una posición orgánica. En realidad, como verás a continuación, por su condición tal vez no debería tratarse de un Delegado, sino de un departamento en sí.
2. La posibilidad de un DPO externo en los Ayuntamientos «pequeños»
Este segundo aspecto a tener en cuenta se refiere a la posibilidad de que las entidades supramunicipales que hemos citado, así como tal vez otras como pueden serlo las Comarcas o las Mancomunidades, puedan tener un DPO de modo externo. El servicio se prestaría dentro de su ámbito y en su caso, se extendería desde el Ayuntamiento al resto de entidades.
Si tenemos en cuenta que se reconoce a las Diputaciones «pequeñas» como entidades propias, estas siguen debiendo cubrir a muchos municipios que son aún más pequeños si miramos desde el punto de vista de los recursos que disponen. Un DPO puede ser una figura unipersonal muy útil para un cumplimiento inmediato del Reglamento.
Sin embargo, la creación del departamento que hemos mencionado tendría la ventaja de estar integrado por especialistas en diferentes áreas necesarias: jurídica, financiera, recursos humanos o auditorías, por lo que se abarcaría un mayor conocimiento. Hoy en día, ya hay una Entidad Local que se ha animado a hacerlo: la Oficina Provincial de Protección de Datos y Seguridad de la Diputación de Castellón.
En definitiva, debemos esperar todavía un poco más de tiempo para ver hasta qué punto la tan reciente LOPD nos ayuda a solucionar o no algunas cuestiones que todavía están en duda con respecto al DPO en los Ayuntamientos. Las preguntas que aún quedan por responder y que poco a poco se van solventando son sus funciones exactas, su provisión o su concreta posición orgánica, entre otras.
