Como consecuencia de la noticia que saltaba hace unos días a los medios de comunicación en relación al inicio de un Procedimiento Sancionador por parte de la Agencia Española de Protección de Datos frente al Ayuntamiento de Huércal (Almería), hemos recibido numerosas preguntas a las que intentaremos dar respuestas en el presente artículo que trata de resaltar la importancia de la figura del Delegado de Protección de Datos para la salvaguarda de los datos personales que manejan las corporaciones municipales.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembros lo considere también obligatorio.
Entre los supuestos en los que habrá de designarse un DPD se encuentra el de que el tratamiento lo lleve a cabo una autoridad u organismo público, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD). Recordemos que el RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, fue aplicable a partir del 25 de mayo de 2018 debiendo haberse producido la designación de los DPD en el ámbito público con antelación a esa fecha.
El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas.
Un único delegado de protección de datos para varios de estas autoridades u organismos
El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único DPD para, por ejemplo, un ministerio, conserjería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un departamento ministerial, consejería o ayuntamiento.
La necesidad de evitar conflictos de intereses
En órganos, organismos o entes de gran tamaño en que exista un único DPD lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el DPD formalmente nombrado esté respaldado por una unidad específicamente dedicada a la protección de datos. En entidades de menor tamaño será posible que el DPD compagine sus funciones con otras. Si este es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información).
El RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD. Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas.
Qué debe conllevar la posición del DPD
Cuáles son las funciones del DPO en la corporación
Huelga recalcar nuevamente la necesidad imperiosa para las corporaciones municipales de contar con un Delegado de Protección de Datos que vele por el cumplimiento de la legislación vigente en tan importante materia y ya ha pasado un tiempo más que prudencial para que todas las corporaciones de derecho público y empresas privadas que tratan datos personales a gran escala, hayan nombrado a sus respectivas figuras en este campo. Máxime cuando este hecho se hace de manera online ante la AEPD en un tiempo no superior a cinco minutos.