EL DELEGADO DE PROTECCIÓN DE DATOS. HAY CHICO NUEVO EN LA OFICINA

Entrada original publicada en elnuevofuncionarioconhabilitaciondecaracternacional.wordpress.com

DPD

Fuente de la imagen: govertis.com

1. EL MARCO NORMATIVO

El marco normativo referente al Delegado de Protección de Datos o DPO, por sus siglas en inglés (Data Protection Officer), en adelante DPD está constituido por la sección cuarta, artículos 37 a 43  del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo de 27 de Abril de 2016 relativo a la Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos,  esta norma llamada Reglamento General de Protección de Datos, en adelante, RGPD entró en vigor el 27 de abril de 2016, sin embrago será aplicable a partir de mayo de 2018.

2.LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN EL ÁMBITO LOCAL.

La figura del delegado de protección de datos puede suponer en la practica la novedad más importante del nuevo cambio normativo, porque, aunque no sea la única, a nivel práctico va a suponer la que más ríos de tinta haga correr y la que más trabajo cueste aceptar. Además, adelanto la situación de contradicción y libertad a la hora de su configuración por las administraciones locales.

Respecto de su regulación en el RGPD los artículos 37,38 y 39 establecen sus funciones y características:

La primera característica del DPD es que es OBLIGATORIO para las administraciones públicas como son las entidades locales, en TODAS, a pesar de que esto supone de inicio un primer problema, art. 37.1.a RGPD: “el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;”

Hubiera sido mucho más práctico el haber legislado de forma que quedará de forma más clara la obligación de las Diputaciones Provinciales de facilitar el cumplimiento del Reglamento de Protección de Datos a los municipios de menos de 20.000 habitantes incluido la posibilidad de aportar un DPD para que los municipios de la provincia los designen.

La segunda característica del DPD es que es INDEPENDIENTE y por lo tanto no está sujeto a mandato alguno dentro de la organización donde realiza sus funciones. Dice el artículo 38.3 “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.”

Está característica resulta muy interesante para nuestras organizaciones, porque suponen un “poder” más con capacidad de actuación y recomendación al responsable del tratamiento que no deja de ser la propia entidad local y como no, sus representantes físicos.

El reglamento determina que los responsables y encargados del tratamiento NO PODRAN dirigir ni influir en el trabajo del DPD, de tal manera que incluso se protege al DPD en el caso de apertura de expedientes disciplinarios como resultado de su labor como DPD.

A nivel organizativo la independencia del DPD se pone de manifiesto cuando el RGPD establece que las comunicaciones del DPD se realizaran “(…) al más alto nivel jerárquico del responsable o encargado…” (artículo 38.3 del RGPD), configurándole como un directivo o cuasidirectivo público, con el poco desarrollo que existe en nuestras administraciones de esa figura fuera del ámbito de la protección de datos.

Aún más complicado parece el mandato de facilitar al DPD los recursos necesarios para el desarrollo de sus funciones.  Entendemos que estos recursos serán económicos y materiales pero esos recursos no sobran en las entidades locales por lo que cuando en DPD requiera medios, habrá que facilitárselo o motivar su denegación sin que se establezca consecuencia alguna para la administración pública.

La tercera característica, es lo que ha venido en denominarse el perfil del delegado de protección de datos.

Aquí el RGPD establece una verdadera complejidad si pensamos en la aplicación de la norma para todas las entidades locales territoriales.

El perfil viene definido el RGPD y en el proyecto de LOPD como el de un funcionario o profesional con conocimientos especializados en Derecho y experiencia en materia de protección de datos con capacidad para desempeñar sus funciones.

En nuestra opinión, por lo tanto, la primera pregunta que debemos hacernos en nuestra organización es el de optar por nombrar a un delegado de protección de datos externo o interno. Entendemos que le reglamento y el proyecto permiten optar. Algunos autores han mencionado el posible incumplimiento del artículo 9.2 del Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público que dice: “en todo caso, el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de las potestades públicas o en la salvaguardia de los intereses generales del Estado y de las Administraciones Públicas corresponden exclusivamente a los funcionarios públicos, en los términos que en la ley de desarrollo de cada Administración Pública se establezca” en nuestro opinión habrá que atender a las situaciones concretas de cada administración ya que lo que no entendemos en modo alguno posible es no designar DPD porque la entidad local no tiene funcionarios y encargar esa función a un tercero vulneraria el artículo transcrito.

Siempre que la administración pueda, porque tenga personal funcionario que además cumpla con el perfil o pueda llegar a cumplir a través de formaciones o certificaciones, será más recomendable que se designe DPD entre un funcionario de la corporación, teniendo en cuenta que quien conoce mejor los procedimientos y los servicios que presta la entidad local es alguien de la “casa” y puede cumplir mejor con las funciones del DPD. Pero es también evidente, y el RGPD y el proyecto de LOPD así lo permiten, la contratación externa mediante un contrato de servicios, al modo de colaboración como pasa con los contratos de recaudación y teniendo que cuenta que será en todo caso el responsable del tratamiento quien responderá de la política de protección de datos de la entidad.

No podemos perder de vista que, simplificando, la figura el DPD va a ser la persona que por un lado de la cara ante los ciudadanos y ante la Agencia de Protección de datos, por lo que necesariamente debe realizar sus funciones de manera periódica y presencial.

En esta característica del DPD que es su perfil, nos inclinamos también por añadir que debe ser una personal con capacidades transversales y no sólo vinculado al conocimiento exclusivo de la legislación sobre protección de datos. En la tormenta normativa de cambios que cae sobre las administraciones públicas, hay que ver la configuración del DPD como una oportunidad de forma que siguiendo el artículo 103 de la Constitución española de 1978 seamos eficaces y eficientes buscando un perfil o perfiles que aúnen protección de datos, transparencia, administración electrónica.

Como mencionábamos la figura del perfil del DPD da, en el heterogéneo mundo local para la aparición de contradicciones, así se producen una serie de conflictos de intereses que según el tipo de entidad local puede llegar a suponer la imposibilidad de un nombramiento interno de DPD.

Teniendo en cuenta que en el Grupo de Trabajo sobre protección de datos en el seno de la unión europea prevé conflictos de intereses en relación con otros puestos de carácter directivo con responsabilidades sobre recursos humanos o sobre la elaboración o supervisión de procedimientos y documentos oficiales.

Teniendo en cuenta también la regulación del esquema nacional de seguridad, Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su regulación de los sistemas de información administrativa pilar básico del funcionamiento de la administración electrónica.

Parece plausible que estos conflictos de intereses aplicados de forma estricta afecten de manera directa a los funcionarios con habilitación de carácter nacional de las entidades locales, por lo que no seria, a pesar de que la AEPD lo menciona en la documentación que tiene en su web la posible designación de este tipo de funcionarios, compatible la función de control y dirección de procedimientos administrativos con la función auditora del DPD. No así, a los puestos de colaboración que puedan existir de funcionario con habilitación nacional, que en este casi si que podrían adecuarse al perfil definido de DPD.

En otro caso, si el único funcionario de la corporación es el habilitado, es probable que se vean en la necesidad de  acudir al nombramiento de un DPO externo.

Queremos abordar al final de este apartado explicando si, dentro del “perfil” del DPD, éste debe ser una persona certificada. Desde la normativa, al igual que sobre la forma de designación, no se obliga a tener una certificación o a una titulación especifica para ser DPD. No obstante como la figura afecta tanto a entidades  públicas como al sector privado y como en el caso de externalizar su designación está recaerá sobre una empresa o profesional privado, se está dando el fenómeno desde la propia Agencia de Protección de Datos con un “ESQUEMA DE CERTIFICACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS” actualmente hay cinco entidades certificadoras reconocidas.

Al igual que hemos expuesto en relación a la externalización o no de la designación del DPD en este supuesto entendemos de la misma manera que el tamaño si que importa y que la configuración de la figura y de los requisitos del DPD dependerán en gran medida del tamaño de la entidad local, por lo que partiendo de esa premisa, si que es cierto que la seguridad de tener un DPD certificado evita el posible “intrusismo” o la aparición de “piratas” , como en su momento paso con el negocio de la eficiencia energética. Lo que nos lleva a concluir que si la entidad puede designar DPD interno y además acreditarlo estará en la situación más óptima a la hora de la entrada en vigor el 26 de Mayo de las obligaciones derivadas del RGPD.

En resumen podemos decir que además de una persona con conocimientos especializados en Derecho y experiencia en materia de protección de datos debería tener:

  • Independencia para el ejercicio de su función.
  • Carácter directivo para cumplir con sus funciones
  • Integridad organizativa y ética que eviten conflictos de intereses
  • Conocimiento de la administración local, de sus procedimientos, competencias y servicios.
  • Transversalidad de conocimientos para aplicarlos de manera conjunta junto con transparencia y administración electrónica.
Provisión, Posición y funciones del Delegado de Protección de Datos.

3. PROVISIÓN Y  POSICIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS. 

La posición del Delegado de Protección de Datos es un aspecto que tanto el Reglamento como el proyecto de ley dejan de forma abierta a la potestad de autoorganización de las entidades que conforman la administración local.

En este momento es posible que el DPD esté o no integrado en la estructura de la entidad local; también puede ser una persona jurídica o física, puede ser un DPD o varios; puede ser un órgano colegiado.

Este diseño de un nuevo puesto de trabajo ad hoc por obligación legal, no deja de suponer un auténtico reto, dado que aún muchas entidades locales no han adaptado ni adaptaran su organigrama a las actuales necesidades y obligaciones que de verdad tienen nuestras entidades locales.

a)La Internalización

En el caso como hemos dicho de la internalización de la figura del DPD, y como hemos dicha anteriormente el tamaño sí que importa, por ejemplo, en los municipios de gran población regulados en el título X de la Ley 7/1985 de 2 de Abril habrá que plantear si se nombra uno o varios DPD en virtud de la amplitud de departamentos o de organismos dependientes.  En este aspecto es reseñable el concepto de “inmediatez” que se predica del DPD, dadas sus funciones debe estar disponible en para la organización, si nuestra entidad local está plenamente operando en administración electrónica la inmediatez es total, por eso un solo DPD podría ser suficiente.

También incluimos aquí a las Diputaciones Provinciales, Cabildos y Consejos Insulares los cuales por medios materiales y personales son perfectamente asimilables a los municipios de gran población.

En estos municipios y entidades locales, sería interesante la configuración de un órgano colegiado que asumiera funciones transversales como las que planteábamos de protección de datos, transparencia e innovación, incluso aunque sólo se designará un DPD.

Siguiendo la experiencia del Ayuntamiento de Sant Feliú del Llobregat, también es una posibilidad la de configurar una comisión o comisiones, que traten de forma conjunta las recomendaciones y actuaciones que proponga el DPD, además de generar un espacio donde plantear las necesidades, recursos y problemática a la hora de implantar una política de protección de datos municipal, incluyendo el análisis de riesgos.

En los municipios del régimen común, deberíamos de plantear también una división teórica en el límite de los 20.000 habitantes.

De esta manera en los municipios del régimen común de más de 20.000 habitantes el planteamiento sería previa modificación de la relación de puestos de trabajo, designar un técnico con conocimientos adecuados en materia de protección de datos, y si como mantenemos se le forma y certifica mejor para ser DPD.

También en este caso, el RGPD permite una dedicación parcial a su función de DPD por lo que podría seguir teniendo funciones administrativas dentro de la entidad local o también dependiendo de la organización, modificar la RPT creado un puesto cuyo perfil y funciones permita a personal de la propia administración cambiar de puesto de trabajo e iniciar un nuevo apartado profesional que como digo incluya competencias profesionales cuya necesidad es obvia y que en la mayoría de administraciones aún no tenemos.

Podemos aprovechar esta ocasión para realizar un análisis organizativo: identificación y descripción de la estructura organizativa, enumeración de las agrupaciones de actividad (áreas, departamentos o secciones según la denominación al uso) y las funciones y roles (producción de servicios, staff, asesoramiento) que cada una de éstas tienen asignadas.

Lo que queda en municipios del régimen común de menos de 20.000 habitantes es quizás la parte más débil del planteamiento. En nuestra opinión y tras la reforma de la Ley 27/2013 de 27 de diciembre de racionalización y sostenibilidad local que modificó la redacción del artículo 36 de la Ley 7/1985 de 2 de Abril , deberían ser  las Diputaciones y la Comunidades Autónomas uniprovinciales las que en virtud del artículo 36.1.a y b que establecen:

“a) La coordinación de los servicios municipales entre sí para la garantía de la prestación integral y adecuada a que se refiere el apartado a) del número 2 del artículo 31 (Asegurar la prestación integral y adecuada en la totalidad del territorio provincial de los servicios de competencia municipal) .

  1. b) La asistencia y cooperación jurídica, económica y técnica a los Municipios, especialmente los de menor capacidad económica y de gestión”

Es cierto que por desarrollo cronológico no establece la competencia en materia de protección del derecho fundamental de protección de datos, pero aún así el encaje sería perfectamente posible en los apartados antes expuestos. A mayor abundamiento, si que desde el año 2013 en el apartado g) del artículo 36 citado se incorporan como obligatorios el que la diputación dé servicio en materia de administración electrónica y contratación administrativa. Estoy seguro de que el legislador redactor de la Ley en estos momentos no dudaría en incluir la gestión, desarrollo y aplicabilidad de lo que será la Ley Orgánica de Protección de Datos, incluyendo sobre todo la obligación de facilitar a los municipios la figura del DPD.

Pero volvamos a la cruda realidad, más de cinco años después, esas competencias que fueron introducidas por la Ley de Racionalización, apenas se cumplen en algunas Diputaciones y en las que lo hacen es de forma muy limitada.

La entrada en vigor del Reglamento General de Protección de Datos y la futura Ley Orgánica de Protección de datos, ha vuelto a abrir el debate y algunas Diputaciones se están planteando formar a funcionarios propios para que puedan prestar el servicio de DPD a los municipios de la provincia. En otros casos, se están planteando externalizar este servicio mediante un contrato administrativo y su licitación.

Es importante recordar que las Diputaciones como administraciones públicas locales tienen la obligación de designar a su propio DPD, pero también es su doble vertiente deberían asumir de forma valiente el apoyo material y real en materia de gestión, coordinación y ejecución de políticas de protección de datos en los municipios de menos capacidad de la provincia. No podemos dejar de reclamar, y como decimos el debate está abierto que las diputaciones provinciales tomen medidas reales para ejercer su labor más característica que es la de apoyo a los municipios con menos capacidad.

b) La Externalización

Como hemos defendido, la situación ideal para implantar esta gestión del cambio en nuestras administraciones es la de internalizar la figura del Delegado de Protección de Datos y además aprovechar para mejorar la organización en materia de recursos humanos y organigrama municipal.

Pero como dice Concepción Campos Acuña,  no tenemos recursos ilimitados ni materiales ni económicos.

Por eso, y es una realidad,  la materia de protección de datos, no es asumida como una necesidad, como un verdadero servicio público que va a ser necesario prestar, y aún menos se ve como una oportunidad para acometer la adaptación a la tormenta de obligaciones normativas que en los últimos años nos llegan para abordar: contratación administrativa, transparencia, contratación pública, protección de datos.

Es posible que el escenario a pesar de LA OBLIGACION LEGAL, en muchas organizaciones sea el mirar hacia otro lado, como en mucho caso ya pasó con la Ley orgánica 15/1999 de 13 de diciembre, de la que por desgracia aún hay muchas administraciones legales que ni cumplen con las auditorias ni actualizan los ficheros.

Por estos motivos, defendemos que en los municipios más pequeños y aquellos en los que las Diputaciones Provinciales no colaboren prestando el servicio, deberá plantearse una licitación pública para colaborar en las obligaciones que el RGPD establece y la futura Ley también, designado también un DPD externo.

Es indudable que la externalización tiene también unas facilidades que no se dan cuando se ha tomado la decisión de designar un DPD interno, y que en las Pequeñas Y Medianas Entidades Locales  (PYMEL)son más evidentes,  entre otras podemos mencionar:

. El acceder a una persona formada de forma inmediata sin tener que buscarlo en organizaciones que apenas no tienen funcionarios públicos.

. Una reducción de coste en relación con el tiempo dedicado a estas funciones y que si se encomiendan internamente de forma exclusiva una vez desarrollada la primera fase de adaptación al RGPD y a la futura Ley puede necesitar menos tiempo de dedicación.

. Mejor especialización a la hora de afrontar tareas complejas como evaluaciones de impacto, inspecciones, recomendaciones.

. Mayor independencia respecto del Responsable y del encargado del tratamiento.

. Permite aportar recursos en otras áreas estructurales y más estratégicas.

. Evita que se produzcan conflictos de intereses.

En este punto debemos manejarnos en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014. En lo sucesivo LCSP 2017.

La LCSP 2017 define como contrato típico en su artículo el contrato de servicios de la siguiente manera:

“Son contratos de servicios aquellos cuyo objeto son prestaciones de hacer consistentes en el desarrollo de una actividad o dirigidas a la obtención de un resultado distinto de una obra o suministro, incluyendo aquellos en que el adjudicatario se obligue a ejecutar el servicio de forma sucesiva y por precio unitario.

No podrán ser objeto de estos contratos los servicios que impliquen ejercicio de la autoridad inherente a los poderes públicos.”

Entendemos que el encaje de la prestación sobre colaboración en la política de protección de datos debe incardinarse en este tipo de contrato típico. Véase que el último párrafo se refiere al debate ya expuesto sobre el ejercicio de autoridad inherente a los poderes públicos, algo que choca y que pensamos debe reconducirse de la misma manera que en su momento se recondujo el contrato de servicios de colaboración en la recaudación municipal.

La misma LCSP de 2017, desde otro prisma, se refiere expresamente al tratamiento de datos personales por TODOS los contratistas que tenga la administración en su disposición adicional vigesimoquinta.

Esta disposición indica en la importancia que está teniendo la regulación sobre protección de datos.

Sin ánimo de ser exhaustivos si que creemos que das las características y funciones del DPD  (art 39 de RGPD) deberían de incluirse una serie de cláusulas tanto en el pliego de cláusulas administrativos como en el pliego de prescripciones técnicas referentes a esta figura que de modo orientativo serían las siguientes:

. – PRIMERO:  La acreditación de los conocimientos jurídicos y experiencia práctica en funciones y desarrollo de protección de datos personales, añadimos en Administraciones Públicas, está condición se deberá establecer como condición esencial del contrato en cuanto a la aportación de medios personales obligatorios. Como criterios apuntamos: formación, años de experiencia, titulación.

.- SEGUNDO:  La designación del responsable del contrato. El artículo 62 de la Ley 9/2017 , de 8 de noviembre, de Contratos del Sector Público regula:

“1. Con independencia de la unidad encargada del seguimiento y ejecución ordinaria del contrato que figure en los pliegos, los órganos de contratación deberán designar un responsable del contrato al que corresponderá supervisar su ejecución y adoptar las decisiones y dictar las instrucciones necesarias con el fin de asegurar la correcta realización de la prestación pactada, dentro del ámbito de facultades que aquellos le atribuyan. El responsable del contrato podrá ser una persona física o jurídica, vinculada a la entidad contratante o ajena a él.

  1. En los contratos de obras, las facultades del responsable del contrato serán ejercidas por el Director Facultativo conforme con lo dispuesto en los artículos 237 a 246.
  2. En los casos de concesiones de obra pública y de concesiones de servicios, la Administración designará una persona que actúe en defensa del interés general, para obtener y para verificar el cumplimiento de las obligaciones del concesionario, especialmente en lo que se refiere a la calidad en la prestación del servicio o de la obra.”

Como se puede ver, la similitud con la figura del Delegado de Protección de Datos en cuanto a la finalidad de ambos puestos.  Nos inclinamos por añadir a esta regulación, las características obligaciones del RGPD, de forma que sea el adjudicatario quien aporte esta figura

. Apoyo del responsable o encargado, que deberá facilitar los recursos necesarios            para el desempeño de sus funciones. Destacando que es para “las funciones de    DPD” y no otras funciones y limitando estos recursos a la presentación detallada            por parte del DPD de las necesidades y la aprobación, conforme al resto de la   legislación, por ejemplo, la presupuestaria, por el responsable del tratamiento.

. No recibirá ninguna instrucción en lo que respecta al desempeño de las funciones de    DPD, añadiendo que se trata de garantizar la independencia del   delegado.

. Se debe añadir también, que la sustitución del delegado designado sólo podrá    realizarse por causas tasadas y nunca será removido o sancionado por el ejercicio de sus funciones.

. Rendirá cuentas directamente al más alto nivel jerárquico del responsable, lo     que implica además la capacidad de adoptar o promover decisiones. Creemos       que la rendición mensual PRESENCIAL sería suficiente si pensamos en la   cualidad de la accesibilidad que debe tener el DPD.  Otras funciones como el             asesoramiento, o el análisis o adaptación de documentos administrativos podrá    hacerse de forma no presencial.

.- TERCERO: Tipo de procedimiento. Tampoco creemos que sea posible o recomendable tramitar un contrato menor, dado que se trata de funciones estructurales y permanentes en la organización, por lo que se debería de acudir al resto de procedimientos que permiten una duración mayor, independientemente del importe del contrato (aproximadamente 3.000 € al año) porque, aunque estemos dentro del umbral del contrato menor NO hay obligación de seguir el procedimiento del artículo 118 de la LCSP 2017.

4. LAS FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS

El RGDP y el proyecto de Ley si que desarrollan con bastante detalle las funciones de los delegados. Estás funciones son las mismas tanto si el DPD es interno como si es externo, aunque en su aplicación se puedan dar particularidades en las entidades locales.

El artículo 39 del Reglamento 679/2016 dice que como MINIMO, el delegado de protección de datos se encargará de:

4.1 informar y asesorar

Está función, que determina el carácter directivo del DPD y la capacidad de promover decisiones y sobre todo de realizar advertencias. Es reseñable que con está función se incluya a los empleados de la entidad local sobre las obligaciones que a normativa establece, aunque no se establece que debe de hacer el DPD cuando no se cumplan sus recomendaciones o advertencias.

4.2 Supervisar el cumplimiento de la normativa

En relación con la función anterior, a la que complementa en cuanto a que arma al DPD con la capacidad de emitir algún tipo de recomendación o mandato respecto de la realidad del cumplimiento de la política de protección de datos como de cumplimiento de la normativa. Apuntamos aquí este aspecto respecto de la aparición del concepto de “compliance” en el sector público cuyo sentido se da en un apartado concreto respecto de la política de protección de datos, pero que en su conjunto supone una figura de revisión del funcionamiento de la propia organización en el resto de las materias y obligaciones que la Entidad tiene, además de servir para evitar problemas de corrupción y de mejora de la gestión del servicio público.

Hay que destacar de esta función, también la formación al personal, que no hay que desdeñar y que servirá para crear “cultura” sobre la importancia de la protección de datos que avanza a pasos agigantados.

También se mencionan las auditorias al final del párrafo, son auditorias de cumplimiento que a nuestro juicio deberían de realizarse de forma mensual, al menos en un estadio inicial del desarrollo de RGPD y de la LOPD, que deberían de tener un formato prestablecido para adaptarse a la entidad local y que sirven de base para verificar en el tiempo por ejemplo si se aceptan o no las recomendaciones del DPD, si dependiendo de la recomendación se establece un tiempo para su cumplimiento o para tener medio suficientes para el cumplimiento de la medida.

4.3 Asesorar sobre la evaluación de impacto.

La evaluación de impacto supone la herramienta clave en el nuevo enfoque proactivo que se da a la política de protección de datos. Las evaluaciones de impacto más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments) viene a ser un análisis previo del riesgo (impacto) de los datos que maneja la entidad local según las distintas áreas de los servicios que presta y por lo cuales obtiene datos de carácter personal.

Se pretende que con este análisis se evite que se lesionen derechos una vez se produzca una denuncia o se vea que se ha fallado en la protección de estos.  Por ejemplo, no valorar previamente la disociación de datos personales en las actas de la Junta de Gobierno local es un error común, que se evita si previamente se hace una evaluación de impacto sobre las resoluciones y acuerdos de los órganos colegiados de la entidad local.

4.4 Cooperar con la autoridad de control

La cooperación se define como la realización de tareas o funciones para un fin común. En la cooperación hay igualdad entre los sujetos cooperantes  y no hay relaciones de subordinación. Si atendemos a su regulación normativa: el Art. 143, Ley 40/2015, de 1 de octubre dispone que “las Administraciones cooperarán al servicio del interés general y podrán acordar de manera voluntaria la forma de ejercer sus respectivas competencias que mejor sirva a este principio. La formalización de relaciones de cooperación requerirá la aceptación expresa de las partes, formulada en acuerdos de órganos de cooperación o en convenios”.

De las técnicas que plantea la ley 40/2015 de 1 de octubre en aplicación a esta función del DPD, parece realista pensar que se instrumentalizará en

  • La cooperación interadministrativa para la aplicación coordinada de la normativa reguladora de una determinada materia.
  • La emisión de informes no preceptivos con el fin de que las diferentes Administraciones expresen su criterio sobre propuestas o actuaciones que incidan en sus competencias.

Es decir, a nivel de información y documentación será donde más fácilmente se dé la cooperación, en relación con la función siguiente de actuar como punto de contacto con la autoridad de control.

4.5 Actuar como punto de contacto con la autoridad de control

Se trata de una de las funciones que también caracteriza la figura del delegado de protección de datos, que es la de tratar de ser mediador y cabeza visible en materia de protección de datos.

Esto supone poner al delegado en primera línea de fuego, y cruzado, entre tres actores principales: El responsable del tratamiento, el organismo de control: AEPD o agencia autonómica y los titulares del derecho de protección de datos.

Así de esta manera el DPD es el “cauce” para que fluyan las relaciones en política municipal de protección de datos. En concreto, deberá al menos relacionarse con la autoridad de control en el apartado de evaluación de riesgos; en las consultas que se hagan desde la Entidad Local que deben canalizarse a través del DPD, la actualización de datos accesibles por medios electrónicos, entre otras.

En la enmienda nº 19 publicada en el boletín Oficial de las Cortes Generales el 18 de Abril, al proyecto de Ley Orgánica de Protección de datos de carácter personal, se pide que además también se relaciones o sirva de punto de acceso para las autoridades judiciales.

4.6 Otras funciones genéricas de asesoramiento y supervisión

Respecto de otras funciones que no expresamente se encuentran en el artículo 39 del RGDP pero que se derivan del resto del articulado y del proyecto de Ley orgánica de protección de datos y que la Agencia Española de Protección de datos ha establecido en el esquema de certificación y en el documento de recomendaciones.

El listado de funciones sobre materias en las que debe de asesorar sería el siguiente:

  1. La aplicación de los principios de tratamiento como los de exactitud de los datos, finalidad, uso.
  2. Sobre la realización las bases jurídicas de los tratamientos
  3. Asesorar en la implantación de medidas de diseño y protección de datos por defecto.
  4. Decidir cuando hay que realizar evaluaciones de impacto sobre la protección de datos.
  5. Asesoramiento sobre el contenido de las solicitudes de reclamaciones en materia del ejercicio de derechos sobre protección de datos.
  6. Asesorar e implantar medidas de seguridad sobre el almacenamiento de los datos personales recabados por la Entidad Local.
  7. Establecer las formas de acceso y ejercicio del derecho de acceso en la Entidad Local.
  8. Asesoramiento en las relaciones jurídicas entre el responsable de los datos, el encargado del tratamiento y el propio DPD.
  9. Establecer las formas de relación con la autoridad de control
  10. Diseño y supervisión de la formación a los empleados de la Entidad Local en materia de protección de datos.
  11. Valorar la compatibilidad de las finalidades distintas de las que originaron la recogida inicial de datos.
  12. Valorar la petición de datos protegidos por otros órganos.
  13. Asesorar sobre las modificaciones y novedades en la legislación y obligaciones en materia de protección de datos de carácter personal.
  14. Apertura y supervisión de expedientes administrativos sobre afectados por tratamiento de datos por parte de la Entidad Local.
  15. Diseño e implantación de una política de protección de datos adecuada a la Entidad Local, en un documento escrito.
  16. Supervisar los resultados de las auditorias de protección de datos
  17. Supervisar los análisis de riesgo de los tratamientos realizados.
  18. Realizar recomendaciones por escrito al responsable del tratamiento de los datos
  19. Supervisar la adaptación de ficheros existentes a la nueva política de protección de datos.
  20. Establecer los protocolos de actuación ante posibles violaciones de seguridad de los datos.

5.PROCEDIMIENTO DE DESIGNACION DEL DELEGADO DE PROTECCION DE DATOS.

Proponemos de forma orientativa un esquema procedimental para la designación y establecimiento del Delegado de Protección de Datos en la Entidades Locales de forma interna, en el supuesto de externalización nos remitimos al epígrafe referente a la externalización, dado que el procedimiento se tramita conforme a la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, insistimos en la improcedencia a nuestro juicio de su tramitación como contrato menor.

A lo largo de nuestra exposición como hemos mencionado, la libertad de posibilidades para los distintos tipos de Entidades Locales, permiten un abanico muy amplio por lo que empezaremos determinando procedimientos formales que podrán o no utilizarse según el ejercicio de la potestad de autoorganización de cada Entidad Local.

PASO 1. CREACION DE UN ORGANO AD HOC: COMISION LOCAL SOBRE PROTECCION DE DATOS.

La legislación básica aplicable es la siguiente:

  • – Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local -LRBRL-.
  • – Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales -ROF-, aprobado por Real Decreto 2568/1986, de 28 de noviembre.

El procedimiento se inicia con la propuesta de creación de la comisión sobre protección de datos, deberá someterse a informe de la Intervención Municipal.

La competencia será del Pleno, informado por la comisión informativa correspondiente sobre el texto que deberá incluir: Denominación y ámbito de actuación; Objetivos y funciones; Composición y estructura y periodicidad de las sesiones.

El procedimiento para la creación de la comisión podría ser:

  • 1. Aprobación inicial por el Ayuntamiento Pleno, por mayoría simple, salvo que se modifique el Reglamento Orgánico Municipal para incluir este órgano lo que significaría obligatoriamente el voto favorable de la mayoría absoluta del Pleno.
  • 2. Información pública y audiencia a los interesados, previo anuncio en el Boletín Oficial de la Provincia y en el tablón de anuncios del Ayuntamiento, del acuerdo de aprobación inicial, por el plazo mínimo de treinta días hábiles, para la presentación de reclamaciones y sugerencias (asimismo se publicará en la página web).
  • 3. Resolución de las reclamaciones y sugerencias presentadas, y aprobación definitiva por el Ayuntamiento Pleno, por mayoría simple, o en su caso absoluta. No obstante, el acuerdo de aprobación inicial pasará a ser definitivo en el caso de que no se hubiesen formulado reclamaciones ni sugerencias. En este caso, para la producción de efectos jurídicos, deberá publicarse tal circunstancia, junto con el texto íntegro, en el BOP.

PASO 2. DESIGNACION DEL DELEGADO DE PROTECCION DE DATOS INTERNO.

Como hemos mencionado la actual regulación permite el nombramiento de uno o varios DPD teniendo en cuenta el tamaño de la Entidad Local y su organización.

En primero lugar se deberá modificar la plantilla de personal y la relación de puestos de trabajo. En la entidad en las que no exista relación de puestos de trabajo, se tratará al menos de adoptar un acuerdo de atribución de funciones. Porque la relación de puestos de trabajo determina las características esenciales de los puestos de trabajo, y los requisitos para su ocupación, en este caso de forma congruente con el RGPD y el proyecto de Ley.

Conforme al artículo 74 del texto refundido del Estatuto Básico del Empleado Público -TREBEP-, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, se establece la adaptación normativa a través de estas herramientas. También en relación al mismo, la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local -LRBRL-, en su artículo 90.2 también regula las relaciones de puestos de trabajo como herramientas de establecimiento de organización municipal en consonancia con el artículo 126.4 del Real Decreto Legislativo 781/1986, de 18 de abril, por el que se aprueba el Texto Refundido de las Disposiciones Legales vigentes en materia de Régimen Local

Está opción se complica si no se trata de asignar este puesto a un funcionario ya existente en la corporación sino que se quiera proveer ex novo  porque entonces habría  que tener en cuenta las limitaciones de la  Ley 3/2017, de 27 de junio, de Presupuestos Generales del Estado para el año 2017 -LPGE 2017-, cuyo artículo 19.1 sigue limitando la incorporación de nuevo personal en los términos previstos en el mismo; por lo que se podría dar el caso de la creación y provisión incluso en régimen de interinidad.

La aprobación de la RPT y, consecuentemente, de sus modificaciones, corresponde al Ayuntamiento Pleno, en virtud de lo previsto en el artículo 22.2.i) de la Ley 7/1985, de 2 abril, Reguladora de las Bases del Régimen Local -LRBRL-, sin que tal atribución pueda ser objeto de delegación (art. 22.4 LRBRL ), y en los municipios de gran población a la Junta de Gobierno Local (art. 127 LRBRL).

El acuerdo deberá contemplar al menos los siguientes puntos:

PRIMERO.- La convocatoria de la mesa general de negociación según lo previsto en los artículos 34 y 37.1.c) del Real Decreto Legislativo 5/2015, de 30 de octubre, del texto refundido del Estatuto Básico del Empleado Público.

SEGUNDO.- Someter la propuesta a informe de la Intervención municipal, en el supuesto de aumento de coste económico. Una forma de hacer atractivo como decíamos este puesto de trabajo podría ser dotándolo adecuadamente tal y como las enmiendas al proyecto de Ley y el Reglamento establecen.

 TERCERO.- El acuerdo se expondrá al público, previo anuncio en el Boletín Oficial de la Provincia (o, en su caso, al Boletín de la Comunidad Autónoma uniprovincial), por 15 días hábiles, durante los cuales los interesados podrán examinarlo y presentar reclamaciones. El acuerdo se considerará definitivamente aprobado si durante el citado plazo no se hubiesen presentado reclamaciones. En caso de que se presenten reclamaciones serán resueltas por el Ayuntamiento Pleno en el plazo de un mes.

PASO 3. INFORME SOBRE CAPACIDAD Y CONOCMIENTO DEL DELEGADO DE PROTECCION DE DATOS Y COMUNICACIÓN AL ORGANO DE CONTROL.

Un paso procedimental que a nuestro juicio no debe olvidarse y que tendrá verdadera importancia será la realización de un informe por parte del responsable del tratamiento de datos, en él que se ponga de manifiesto las cualidades profesiones, el cumplimiento del perfil del delegado y sus conocimientos en derecho de protección de datos, además de la capacidad para realizar las funciones.

En este caso, seguiremos los artículos 79 y siguientes de la ley 39/2015 de 1 de octubre de procedimiento administrativo común:

“1. A efectos de la resolución del procedimiento, se solicitarán aquellos informes que sean preceptivos por las disposiciones legales, y los que se juzguen necesarios para resolver, citándose el precepto que los exija o fundamentando, en su caso, la conveniencia de reclamarlos.

  1. En la petición de informe se concretará el extremo o extremos acerca de los que se solicita.”

Una vez que se ha añadido este informe de “idoneidad” de la persona designada el siguiente paso en la comunicación al organismo de control, previo acuerdo de nombramiento por parte del alcalde o concejal en quien delegue en una resolución acto administrativo, siendo conveniente la aceptación por escrito de dicho nombramiento.

Posteriormente la Agencia Española de Protección de datos ha establecido un sistema para comunicar la designación de delegados de protección de datos:

A través de un formulario

https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf

En el plazo de diez días se deben comunicar a la Agencia , las designaciones, nombramientos y ceses del Delegado de Protección de Datos, quien deberá de comunicarse con la agencia a través de medios electrónicos.

6. CONCLUSION.

Muchas administraciones públicas dejaran pasar esta oportunidad y no harán nada en el seno de la organización. Parece ser que la aprobación de proyecto de Ley se estima que sea en Octubre de 2018, y como en otros casos es posible que hasta con moratorias o interpretaciones que permitan procrastinar la aplicación de una normativa que personalmente nos gusta más que la anterior.

La sensación que subyace es que,  y el enfoque de esta entrada es ese, se debe aprovechar el momento de tormenta normativa para empezar por cambiar y adaptar el personal al servicio de la administraciones públicas. Una vez, si nos dejan, hechos esos cambios, la aplicación de las normas, la gestión del cambio vendrá de una manera más sencilla.

DPD

Sin comentarios | Leído 240 veces

Puedes saltar al final y dejar una respuesta. Hacer ping no est? permitido.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *