Según la Agencia Española de Protección de Datos (consultar la fuente), «el Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento. En la Guía del Reglamento General de Protección de Datos para responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el delegado de protección de datos.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control».
Hasta aquí de acuerdo, pero debemos discrepar, en parte, cuando en el mismo texto la AEPD apunta:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado (se refiere a conocimientos en materia protección de datos, evidentemente, ya que al DPO se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado);
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
Sin embargo, en nuestra opinión, difícilmente puede ser externo una vez admitamos que al DPO le correspone el ejercicio de funciones administrativas y, muy probablemente, de potestades públicas. Cierto es que el hecho de ser un servicio externo podría entenderse como una garantía adicional de independencia para el ejercicio de sus funciones de supervisión, pero igualmente podría configurarse como un órgano de control interno, como la intervención municipal.
También podría discutirse la manera en la que el Reino de España ha empezado a articular esta obligación que deriva de la normativa europea, ya que, como apunta Josep Jover de un modo crítico, la necesidad de acreditación del Delegado ha permitido crear “escuelas de DPO” que son las únicas encargadas de librar los títulos habilitantes, denunciando el autor la creación de un cierto entramado aprovechando el cambio legal y el desconocimiento general de la normativa sobre protección de datos.
De lo que no se puede dudar, en ningún caso, es de la obligación legal de disponer de esta figura en las AAPP. Debemos recordar que el RGDP precisamente introduce como obligatoria la figura del Delegado de Protección de Datos (DPO) en determinados supuestos, entre los que se incluye, la necesidad de nombrar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público” (artículo 37.1.a RGPD) como es el caso de las Administraciones Públicas en las que sus órganos competentes son de composición política (y tienen la condición de autoridad) y en todo caso son organismos públicos. De forma concreta, en las Entidades Locales, dicha obligatoridad se extiende por este motivo a sus entes dependientes de carácter público. Y esto desde una óptica simple, ya que en nuestra opinión se puede asimilar perfectamente el concepto organismo público del RGPD al de sector público de las últimas leyes de Derecho público (la de régimen jurídico, la de contratos…), en cuyo caso la obligación abarcaría a cualquier tipo de entidad dependiente, incluidas fundaciones y sociedades mercantiles, lo cual no se puede negar que sería más coherente en tanto que incluye en un régimen uniforme cualquier tratamiento que proceda, directa o indirectamente, de una entidad responsable de prestar un servicio público.
Una vez reconocida la apuntada obligatoriedad de disponer de un DPO, debemos considerar dos aspectos distintos en cuanto a su configuración en las EELL. Siguiendo en este punto a Eduard Chaveli, tenemos:
a) Por un lado la obligación de nombrar un DPO, en todo caso, para las entidades de tipo provincial (Diputaciones, Consejos y Cabildos) y Ayuntamientos «grandes»; y en su caso para Ayuntamientos «medianos».
b) Y por otro lado la posibilidad de que las citadas entidades supramunicipales (y quizá otras, como Mancomunidades y Comarcas) puedan prestar el servicio de DPO de modo externo a todos los Ayuntamientos «pequeños» dentro de su ámbito, y en su caso al resto.
Respecto a la primera cuestión (a), no nos cabe duda de que las citadas entidades, por tamaño y/o volumen de gestión, precisan incorporar a su Plantilla esta figura. Dice la norma que el DPO actuará de forma independiente, por lo que su posición orgánica no debería someterse al principio de jerarquía (o su casi sinónimo «jerarquización»). Quizá debería ser no un Delegado, sino todo un Departamento si tenemos en cuenta la segunda cuestión (b), ya que precisamente aún reconociendo la existencia, también, de Diputaciones «pequeñas», no es menos cierto que estas deben dar cobertura a numerosos municipios obviamente aún mucho más pequeños desde el punto de vista de sus recursos. Obviamente se pueden articular las funciones propias de un DPO a través de una figura unipersonal, al menos en un primer momento y sobre todo para el cumplimiento inmediato del Reglamento (que en realidad ya entró en vigor mucho antes del famoso 25 de mayo), pero la creación, a medio o largo plazo, de un Departamento, supone la ventaja de que podría integrarse por especialistas de distintas áreas de la gestión (jurídica, auditoría, financiera, recursos humanos), abarcando un mayor y mejor conocimiento (argumento de Chaveli).
En todo caso, abogamos por una visión multidisciplinar de la cuestión. Así, más allá de la figura del DPO, quizá sea el momento de crear un Departamento o unidad orgánica importante de Gestión de Datos (incluyendo de forma destacada la seguridad y protección de datos) y Transparencia en las AAPP. No olvidemos elementos importantísimos como la nueva gestión pública en base a datos, la publicidad activa, el derecho de acceso a la información, el ENS o el propio archivo electrónico en el fragor de esta nueva batalla.
Actualización (31/05/2018). Ya tenemos una Entidad Local que se ha animado a hacerlo: Oficina Provincial de Protección de Datos y Seguridad de la Diputación de Castellón. Enhorabuena!
Finalmente, como apunta Rafa Jiménez Asensio (ver fuente), veremos hasta qué punto la futura LOPD viene en nuestra ayuda y solventa o no ciertas cuestiones hoy en día abiertas en relación al DPO (funciones, posición orgánica, provisión…). Por tanto, quedan aún muchas preguntas por responder.
© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal.
- REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta altratamiento de datos personales y a la libre circulación de estos datos ypor el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- AEPD:
- Sede electrónica: Consultas más frecuentes (FAQS): “3. Delegado de Protección de Datos”
- El blog de la Agencia sobre el DPD:
- Acreditación de ENAC para la certificación del delegado de protección de datos (DPD)
- Delegado de Protección de Datos – Certificación
- Delegado de Protección de Datos (más información)
- ¿Qué narices es un “delegado de Protección de Datos”?, vía El País
- La formación, uno de los requisitos básicos para ser Delegado
- Protección de Datos: 15 tareas que hacer en las EELL para adaptarse, por Conchi Campos
- LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LAS AAPP, por Rafa Jiménez Asensio
- LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LAS AAPP (2), por Rafa Jiménez Asensio
- “NOTAS DE URGENCIA SOBRE LA SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA UE DE 1 DE OCTUBRE DE 2015 Y SUS CONSECUENCIAS PARA EL MARCO EUROPEO DE INTEROPERABILIDAD», por César Herrero.
- Sentencia de 6 de octubre de 2015, asunto C-362/14
- El Reglamento de protección de datos en 12 preguntas
- Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD) – 2014
- La protección de datos en la administración local
- LOPD y transparencia: dos caras de la misma moneda
- Los guardianes de los Tratados
Anexo II. Últimas Resoluciones destacadas de la AEPD sobre Administraciones Públicas. Fuente: http://www.agpd.es/
- Falta de medidas de seguridad sobre expedientes que contienen datos de salud.
- Tratamiento de datos de salud sin reunir las debidas medidas de seguridad.
- Publicación de la relación de puestos de trabajo de empleados públicos en boletín oficial con información excesiva.
- Videovigilancia. Falta de acreditación de la operatividad del sistema.
- Registro de acceso. Incumplimiento de las medidas de seguridad.
- Videovigilancia privada que capta imágenes de lugares públicos.
- Ver más Resoluciones DESTACADAS de Administraciones Públicas
Anexo III. Informe de la AEPD sobre escrito del Ayuntamiento de Alzira preguntando si el Secretario de la Corporación puede ejercer de DPO. Resumen: Puede ser nombrado siempre que cumpla con los requisitos legales relativos a competencias profesionales y conflicto de intereses. Para poder ejercer como DPD no es necesario estar certificado.
En relación a su escrito ponemos en su conocimiento lo siguiente:
Como seguro ya conocen, según el artículo 37.1 .a) del Reglamento (UE) 2016/679 de Protección de Datos (RGPD) el responsable del tratamiento designará un delegado de protección de datos (DPD) siempre que dicho tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; como se trata en su caso concreto al tratarse de un ayuntamiento.
El DPD es uno de los elementos clave del RGPD, como garante del cumplimiento de la normativa de protección de datos en las organizaciones. Conocido también como DPO (en inglés, Data Protection Officer), deberá contar con conocimientos especializados del Derecho y la práctica de la protección de datos y actuará de forma independiente. Se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar; así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado. No obstante, lo anterior conviene precisar que el RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado; pudiendo ser interno o externo, persona física o persona jurídica especializada en esta materia.
La función del DPD puede ejercerse por lo tanto también en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena a la organización del responsable o del encargado del tratamiento. En el caso de un DPD interno es fundamental que cada miembro de la organización que ejerza las funciones de DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD, siendo fundamental que nadie tenga un conflicto de intereses.
Es igualmente importante que cada uno de estos miembros esté protegido por las disposiciones del RGPD, como las que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.
Al mismo tiempo, es posible combinar capacidades y puntos fuertes individuales para que varios individuos que trabajen en equipo puedan servir de forma más eficaz; pudiendo realizarse a tiempo completo o parcial (un DPD compartido entre varias entidades o, en su caso, un servicio prestado por la correspondiente Diputación).En cualquier caso, se puede realizar el trámite de notificación a esta AEPD de su designación en la siguiente dirección:
http://sedeagpd.gob.es/sedeelectronicaweb/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf
Sobre cómo realizarlo puede consultar la guía rápida publicada por la AEPD al
respecto en el siguiente enlace:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/documentacion/common/pdfs/Guia_rapida_DPD.pdf
Por último, en relación con la obligatoriedad o no de la certificación en el supuesto de un DPD (ya sea interno o externo), precisar que para poder ejercer como DPD no es necesario estar certificado. Puede consultar el siguiente enlace con información al respecto:
https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00248
También pude serles de utilidad la siguiente información disponible en estos enlaces:
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Impacto_RGPD_en_AALL.pdf
Sobre el DPD en las Administraciones públicas:
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Funciones_DPD_en_AAPP.pdf
Y de manera especial, para la Administración Local:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/Guia_Proteccion_Datos_Administracion_Local.pdf
Atentamente.
Nosoloaytos 
Reblogueó esto en IUSLEXBLOG. .
Excelente artículo
En mi opinión, al DPO no le corresponden funciones administrativas ni potestades públicas. Porqué tiene vocación de «externo» por su nota de independencia, aunque no sea un servicio externalizado. Recordemos: informa, asesora y verifica el cumplimiento. Se parece más a un consultor cualificado que debe cumplir con las capacidades exigidas por el RGPD.