Como consecuencia de la noticia que saltaba hace unos días a los medios de comunicación en relación al inicio de un Procedimiento Sancionador por parte de la Agencia Española de Protección de Datos frente al Ayuntamiento de Huércal (Almería), hemos recibido numerosas preguntas a las que intentaremos dar respuestas en el presente artículo que trata de resaltar la importancia de la figura del Delegado de Protección de Datos para la salvaguarda de los datos personales que manejan las corporaciones municipales.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así­ como en otros casos en que la legislación de los Estados Miembros lo considere también obligatorio.

Entre los supuestos en los que habrá de designarse un DPD se encuentra el de que el tratamiento lo lleve a cabo una autoridad u organismo público, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD). Recordemos que el RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, fue aplicable a partir del 25 de mayo de 2018 debiendo haberse producido la designación de los DPD en el ámbito público con antelación a esa fecha.

El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas.

Un único delegado de protección de datos para varios de estas autoridades u organismos

El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único DPD para, por ejemplo, un ministerio, conserjería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un departamento ministerial, consejería o ayuntamiento.

La necesidad de evitar conflictos de intereses

En órganos, organismos o entes de gran tamaño en que exista un único DPD lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el DPD formalmente nombrado esté respaldado por una unidad específicamente dedicada a la protección de datos. En entidades de menor tamaño será posible que el DPD compagine sus funciones con otras. Si este es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información).

El RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD. Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas.

Qué debe conllevar la posición del DPD

• La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
• Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
• No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.
• Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.
• Todos estos elementos deben ser tomados en consideración en la identificación de la ubicación del DPD dentro de la organización y en la configuración del correspondiente puesto de trabajo y, en su caso, de la unidad dependiente del DPD.

Cuáles son las funciones del DPO en la corporación

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
• Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
• Asesoramiento y supervisión en el cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
• Identificación de las bases jurídicas de los tratamientos.
• Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
• Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
• Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
• Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
• Valoración de las solicitudes de ejercicio de derechos por parte de los interesado.
• Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
• Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia
• Diseño e implantación de políticas de protección de datos.
• Auditoría de protección de datos.
• Establecimiento y gestión de los registros de actividades de tratamiento.
• Análisis de riesgo de los tratamientos realizados.
• Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
• Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
• Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
• Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
• Realización de evaluaciones de impacto sobre la protección de datos.
• Relaciones con las autoridades de supervisión.
• Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

Huelga recalcar nuevamente la necesidad imperiosa para las corporaciones municipales de contar con un Delegado de Protección de Datos que vele por el cumplimiento de la legislación vigente en tan importante materia y ya ha pasado un tiempo más que prudencial para que todas las corporaciones de derecho público y empresas privadas que tratan datos personales a gran escala, hayan nombrado a sus respectivas figuras en este campo. Máxime cuando este hecho se hace de manera online ante la AEPD en un tiempo no superior a cinco minutos.