EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS (AAPP)
El Reglamento General de Protección de Datos (RGPD) dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.
Entre los supuestos en que habrá de designarse un Delegado de Protección de Datos se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).
El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los Delegados de Protección de Datos en el ámbito público deberá haberse producido con antelación a esa fecha.
El RGPD regula con cierto detalle tanto la posición como las funciones del Delegado de Protección de Datos. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del Delegado de Protección de Datos puede presentar particularidades en las organizaciones públicas.
Las funciones y obligaciones del Delegado de Protección de Datos en las administraciones públicas son:
a) El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único Delegado de Protección de Datos para, por ejemplo, un ministerio, consejería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único Delegado de Protección de Datos actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas (podrían ser ejemplos los casos de la Secretaría de Estado de Seguridad Social, responsable de la dirección y tutela de las Entidades Gestoras y Servicios Comunes de la Seguridad Social, o el de la Dirección General de Tráfico).
Por otra parte, y dadas las funciones del Delegado de Protección de Datos, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal. Asimismo, el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones.
b) El RGPD prevé que el Delegado de Protección de Datos podrá desarrollar su actividad a tiempo completo o a tiempo parcial y también que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
En órganos, organismos o entes de gran tamaño en que exista un único Delegado de Protección de Datos lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el Delegado de Protección de Datos formalmente nombrado esté respaldado por una unidad específicamente dedicada a la
protección de datos. En entidades de menor tamaño será posible que el Delegado de Protección de Datos compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El Delegado de Protección de Datos actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de IT, o responsables de seguridad de la información).
El RGPD ofrece la posibilidad de que se contraten externamente las funciones de Delegado de Protección de Datos.
Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas, como en el caso de ClickDatos
c) Según el RGPD, la posición del Delegado de Protección de Datos debe conllevar:
– La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
– Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
– No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas
relacionadas con ese desempeño de funciones.
– Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado.
Esta característica debe interpretarse en el sentido de que el Delegado de Protección de Datos debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el Delegado de Protección de Datos .
d) El RGPD establece que el Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
La provisión de los puestos de trabajo de Delegado de Protección de Datos requerirá la selección de empleados públicos que reúnan esos requisitos y, en especial, los conocimientos especializados en derecho y práctica la protección de datos que el RGPD exige.
Dado que la figura del Delegado de Protección de Datos no es obligatoria en la actualidad, así como la necesidad de cubrir un número significativo de plazas de Delegado de Protección de Datos con anterioridad a la fecha de aplicación del RGPD, es razonable suponer que será necesario desarrollar de forma
inmediata una labor de formación de posibles candidatos a ocupar por primera vez los puestos de Delegado de Protección de Datos en todos los niveles de las AAPP.
En todo caso, y una vez superada la primera fase derivada de la entrada en aplicación del RGPD, sería aconsejable establecer con carácter permanente actividades de
formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de Delegado de Protección de Datos. Ello sin perjuicio de otras actividades de formación sobre protección de datos dirigidas a la totalidad de empleados públicos.
e) El RGPD señala entre las funciones del Delegado de Protección de Datos las de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros, así como supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales
f) Estas funciones genéricas del Delegado de Protección de Datos se pueden concretar en tareas de asesoramiento y supervisión.
