E l Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone designar un Delegado de Protección de Datos (DPD) en un organismo público y que los responsables y encargados de tratamiento deberán elegirlo . Esta exigencia se da en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.
Entre los supuestos en que habrá de designarse un DPD se encuentra el que “el tratamiento lo lleve a cabo una autoridad u organismo público”. Esta función se exige, tanto en calidad de responsable como, en funciones de encargado de tratamiento (art. 37.1.a RGPD).
Aunque el RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, es aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD debería, en la protección de datos en un organismo público, haberse producido con antelación a esa fecha.
¿Qué posición ocupa y qué funciones conlleva el DPD en el organismo público?
El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD.
Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público. En todo caso, el perfil del DPD puede presentar particularidades en la protección de datos en los organismos públicos.
¿Qué tiempo ha de dedicar el DPD a la empresa?
También prevé el RGPD que la actividad que el DPD podrá desarrollar sea a tiempo completo o a tiempo parcial. También que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. Esto se prevé en un organismo público, así como en la empresa privada.
¿El DPD nombrado en un organismo público, ha de ser una persona externa o interna en el organismo?
El DPD en un organismo público actúa como asesor y supervisor interno y el RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD.
Esta opción de elección del DPD como figura de protección en el organismo público puede ser la mejor, utilizándose en aquellos casos, como municipios que se beneficien de un servicio ofrecido por una diputación provincial o una comunidad autónoma.
Pero incluso, donde ese servicio no exista pueden optar por los servicios de entidades privadas especializadas, todo ello valga como ejemplo.
Según el RGPD, la posición del DPD en la protección de datos del organismo público debe conllevar:
- La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales
- Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
- No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.
- Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD en el organismo público, debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.
¿Qué tareas del DPD son más relevantes para el organismo público?
De las funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión y, entre otras, las siguientes áreas en el organismo público:
Áreas y tareas más internas:
- Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
- Identificación de las bases jurídicas de los tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
- Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
Áreas y tareas más externas:
- Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
- Diseño e implantación de políticas de protección de datos.
- Auditoría de protección de datos.
- Establecimiento y gestión de los registros de actividades de tratamiento.
Auditorias y análisis:
- Análisis de riesgo de los tratamientos realizados.
- Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
- Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
- Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
- Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
- Realización de evaluaciones de impacto sobre la protección de datos.
- Relaciones con las autoridades de supervisión.
- Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
CONSEJO: Informar y asesorar al responsable o al encargado del tratamiento y al personal que se ocupen y observen las obligaciones que les incumben en virtud del RGPD