lunes, 15 de enero de 2018

Rafael Jiménez Asensio: El Delegado de Protección de Datos en las Administraciones Públicas

"Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)

“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)
(Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)

Por Rafael Jiménez Asensio. Blog La Mirada Institucional.- Pretensión de esta entrada.-.Faltan poco más de cuatro meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras tanto, en paralelo, acaba de comenzar la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea.

Entre las novedades que se incorporaron en ese RGPD se prevé la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo). En esta entrada me interesa particularmente poner el foco de atención en tres cuestiones: 1) El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”); 2) La proyección orgánica que debería tener ese DPD en la estructura administrativa; y 3) El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD. Sin orillar, no obstante, otros temas que sugeriré al final de este post.

Enmarcando el problema
Resulta oportuno enmarcar la figura del DPD en los objetivos generales de la regulación europea. No es adjetivo que el legislador europeo haya optado esta vez por regular esta materia por Reglamento y no por Directiva, como antaño (deroga, así, la Directiva 95/46/CE). Sin entrar en otras consideraciones, el Reglamento UE deja clara la necesidad de “garantizar un nivel uniforme y elevado de protección de las personas físicas”, expone que el “tratamiento de dichos datos debe ser equivalente en todos los Estados miembros” y se pretende que la aplicación de las normas en esta materia “sea coherente y homogénea” (10). Pero todo ello hay que ponerlo en conexión con la finalidad de la norma de que las personas físicas tengan un control de sus propios datos, así como con la necesidad de “reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”. Y todo ello por una razón de contexto muy obvia, que se expresa con carácter diáfano en el considerando 6 del Reglamento:

La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera signifi­cativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. 

Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

En efecto, una sociedad globalizada e interconectada de forma intensiva y extensiva abre unos escenarios nuevos a la protección de datos de las personas físicas, dejando añejas determinadas formas de regular esa materia y obligando a afrontar esos problemas con fórmulas nuevas. También por lo que afecta al tratamiento de esos datos en el sector público. En esta línea cabe incluir la regulación de la evaluación de impacto relativa a la protección de datos (artículo 35 RGPD), la creación de la figura del Delegado de Protección de Datos o, en fin, la incorporación de los códigos de conducta como medio de autorregulación para la correcta aplicación del Reglamento (artículos 40 y 41 RGPD), así como la creación de mecanismos de certificación. Se trata, en verdad, de articular sistemas que opten por una línea preventiva en aquellos ámbitos de alto riesgo para los derechos y libertades de las personas físicas, particularmente en aquellas entidades que llevan a cabo operaciones de tratamiento de datos a gran escala, algo que habitualmente las administraciones públicas y sus entidades del sector público realizan. Los datos en una sociedad digitalizada e instantánea no puede apenas detenerse una vez que estos circulan libremente. La seguridad de la información y de los datos es clave en el sector público. Identificar los riesgos y prevenir, así como garantizar los derechos de las personas físicas, son soluciones correctas. En esas coordenadas, aunque no exclusivamente, se debe entender la figura del DPD en las administraciones públicas.

Líneas-fuerza de la figura del Delegado de Protección de Datos
El considerando 97 del RGPD deja bien preciso que el DPD es una figura que “ayuda” (colaborador necesario lo podríamos denominar) al responsable o encargado de protección de datos en la aplicación efectiva del Reglamento, debiendo ser aquel “una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública” (con excepción del poder judicial). Es una suerte de “delegado de cumplimiento” del RGPD. La relación entre DPD y RGPD es completa

Allí también se indica algo que no es menos importante en lo que afecta al estatuto jurídico del DPD, que no solo debe garantizarse su cobertura por persona con cualificación acreditada, sino además el propio Reglamento exige que a tal figura se le ha de garantizar un funcionamiento independiente, lo cual no es nada adjetivo, sino todo lo contrario:

“El nivel de conocimiento especializado necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”

Por tanto, hay cuatro notas que el RGPD ha querido remarcar de la finalidad de la figura. A saber: a) Que el DPD es una figura de “ayuda” o de colaboración necesaria (por exigencia normativa) con el responsable o encargado de protección de datos en las funciones de cumplimiento del Reglamento; b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD debe acreditar “conocimientos especializados del Derecho y la práctica en materia de protección de datos” (por consiguiente, tales conocimientos se deberían acreditar en un procedimiento objetivo: el PLOPD (en línea con el RGPD) admite la certificación “entre otros medios” para acreditar tales exigencias; artículo 35; ver: Esquema AEPD-PDP); c) Que el PDP puede ser “un empleado” de la Administración Pública o se pueden contratar esos servicios con un profesional o empresa externo; y d) Que esa figura debe tener un estatuto jurídico que salvaguarde su independencia, lo cual incorpora un elemento existencial y diferencial a lo que sea el DPD en las administraciones públicas en relación con otros puestos orgánicos.

Estatuto jurídico del Delegado de Protección de Datos
Todas las administraciones y organismos públicos deben disponer de esta figura de modo preceptivo. La primera decisión que se ha de adoptar al respecto es si se opta por crear una o varias figuras en la estructura o por acudir a un contrato de servicios, aunque en esta segunda modalidad no parece muy apropiado (dada su naturaleza independiente) echar mano de un procedimiento de contratación directa sin licitación ni pliegos de condiciones.

Pero al margen de esa primera decisión, el RGPD establece los perfiles básicos de esa figura en el ámbito de las administraciones públicas. A saber:

-El DPD, tal como ya se ha dicho, “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39” (37.5). Por tanto, se deberían acreditar conocimientos especializados, experiencia en la materia y capacidad (competencias efectivas) para desempeñar las funciones asignadas. En el sector público el DPD “debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización” y, entre sus cualidades personales, se deben incluir “la integridad y un nivel elevado de ética profesional” (Directrices sobre delegados de protección de datos 16/ES, WP 243 rev.01). Algo muy importante.

-El RGPD le asigna al DPD unas funciones mínimas (artículo 39) que se proyectan, entre otros ámbitos, sobre la tarea de información y asesoramiento al responsable o encargado de la protección de datos; la supervisión de la normativa aplicable en la materia; ofrecer asesoramiento sobre la evaluación de impacto relativa a la protección de datos; cooperar con la autoridad de control; y, en fin, actuar como punto de contacto con la autoridad de control. El PLOPD incrementa esas funciones con la de actuar como órgano (unipersonal) de reclamación preliminar a la autoridad de control, lo que dota al puesto en el sector público de un inevitable perfil jurídico. De tales funciones se puede apreciar un perfil dual interno/externo, que singulariza su posición en la estructura, así como de un carácter peculiar adicional, sobre todo por ser punto de contacto con la autoridad de control. No tiene parangón en la estructura tradicional de puestos de trabajo en las administraciones públicas. Y así hay que entenderlo.

-El responsable o encargado del tratamiento de datos personales garantizará que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos”. Por tanto, su participación debe ser efectiva, no puede ser orillado nunca en tales procesos de tratamiento de datos (artículo 38.1).

-En consecuencia, en línea con lo anterior, la Administración Pública o el órgano (departamento o entidad) a la que se adscriba el DPD facilitará “los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados” (38.2). En suma, esa dotación de recursos debe ser asimismo efectiva y se le debe proveer (por parte de la Administración) de la formación continua oportuna que le permita ejercer sus funciones en un entorno de permanente cambio y transformación, como es el ámbito de las tecnologías y del tratamiento de datos. Cabría plantearse cuáles son las soluciones ante un obstruccionismo del responsable o encargado del tratamiento de datos: ¿podría acudir a la autoridad de control?; ¿qué mecanismos de reacción se prevén? En principio, hay una anomia legal en este punto

-La nota determinante o existencial de su estatuto jurídico es, sin embargo, la de que se salvaguarde su posición de independencia frente al responsable o encargado de la protección de datos. En efecto, el artículo 38.3 RGPD concreta esa garantía de independencia en los siguientes términos: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”. Se debe preservar su autonomía funcional, por lo que debe quedar extramuros de la línea jerárquica de la organización, transformándose en una suerte de “autoridad independiente individual (o unipersonal)” pero inserta (lo cual es tremendamente singular) en el seno de la estructura administrativa (a la que “asesora”, “aconseja” o “alerta”; pero no debe formar parte de la estructura decisional, pues está exento de responsabilidad). Y, además, el RGPD blinda al titular del cargo frente a ceses discrecionales (al igual que en el modelo de autoridades independientes) y ante la aplicación del régimen sancionador por el ejercicio de sus funciones. Así se regula este blindaje: “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”. Si rinde cuentas al máximo nivel es normal que “su posición estructural” esté libre de cualquier dependencia. Estas notas son muy importantes, en efecto, para definir –como se hará inmediatamente- la posición estructural en la organización del DPD. El PLOPD lleva a cabo alguna precisión sobre este tema en su artículo 36.2, y al efecto expone: “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio”. En qué casos se puede sancionar y por quién, son dos preguntas que también cabe resolver.

-Su dimensión “exógena” se advierte no solo en su papel de “interlocución” con la autoridad de control, sino además porque, según el artículo 38.4 del RGPD los interesados pueden ponerse en contacto con el DPD en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos (¿una suerte de Ombudsman interno en materia de protección de datos?). Esta función se ve acrecentada por lo establecido en el artículo 37 del PLOPD, que transforma ese órgano en una instancia preliminar de reclamaciones en materia de protección de datos antes de que se acuda a la autoridad de control, con el fin, no escondido, de servir de filtro a esta. Una actuación potestativa, pero menos: pues la autoridad de control tiene la obligación de enviarle cualquier tipo de reclamación que se haga per saltum (artículo 37.2 PLOPD), para su previa valoración.

Y, en fin, el DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones (38.5 RGPD).

¿Qué nivel orgánico debería tener en la estructura el Delegado de Protección de Datos?
No cabe duda que el estatuto jurídico descrito a grandes rasgos condiciona una de las decisiones más relevantes a la hora de insertar la figura del DPD en la estructura organizativa. Tras la decisión de internalizar o externalizar la figura, la segunda más relevante desde el plano organizativo es dónde y cómo se inserta el DPD en la estructura de la Administración Pública; esto es, qué nivel orgánico y en qué posición queda en relación con el resto de órganos y unidades, especialmente en lo que tiene que ver con el responsable y encargado de tratamiento de los datos personales.

Pero hay otra decisión previa a la expuesta. Y tiene que ver sobre si se crea una sola figura o se multiplica esta en función de áreas, departamentos o entidades. El RGPD parece dejar abiertas las dos posibilidades, pero solo en apariencia. En su artículo 37.3 se expone lo siguiente: “Cuando el responsable o encargado del tratamiento sea una autoridad u organismo, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”. No cabe duda que una entidad local de pequeño o mediano tamaño podría optar por la creación de una figura singular, pero un nivel de gobierno de cierta complejidad (por su estructura de áreas, departamental o de entidades vinculadas, dependientes o adscritas) parece razonable (según el espíritu del RGPD) que se incline por la implantación de delegados de protección de datos en cada ámbito previamente definido (algunas áreas o departamentos especialmente sensibles deberán disponer probablemente de varios delegados). Cabe preguntarse asimismo si el DPD podría tener personal a su servicio, tanto auxiliar como técnico. La respuesta debe ser afirmativa. El DPD es un nivel orgánico ad hoc, pero también un puesto de trabajo singular.

Las decisiones organizativas que ya vienen predeterminas por el RGPD, aparte de la anteriormente señalada, son las siguientes:

-El DPD, si está internalizado, forma parte de “la plantilla” del responsable o del encargado del tratamiento (hay que entender, por tanto, de la organización o estructura de la Administración Pública o entidad del sector público correspondiente). La opción alternativa, como se ha visto, es externalizar a través de un contrato de servicios; pero habría que dejar muy claro en los pliegos el carácter y naturaleza de tales servicios, el estatuto singular, así como sus dimensiones y funciones.

-La figura del DPD se caracteriza, tal como se ha visto, por su peculiar estatuto, cuya nota dominante es la independencia funcional. Por tanto, esa unidad orgánica o ese puesto de trabajo no puede estar incorporado en la línea jerárquica de ninguna estructura: debe crearse una estructura organizativa ad hoc, singularizada por su no dependencia orgánica ni funcional, pero adscrita desde el punto de vista presupuestario a un departamento o área de actuación. La AEPD considera que debe adscribirse a órganos o unidades de naturaleza “horizontal”, pero eso no es lo determinante (cuestión formal), sino que el aspecto crucial es que el diseño organizativo por el que se adopte salvaguarde plenamente la independencia en su funcionamiento (cuestión material).

-En cualquier caso, el DPD no es una pieza aislada del modelo organizativo, sino que se debe incardinar en el modelo de seguridad de la información de cada entidad pública y formar parte de los órganos que se creen con esa finalidad (con las singularidades que presenta; esto es, como “asesor”, pero no como miembro de pleno derecho). Su inserción en el sistema de seguridad se ha hecho, por ejemplo, la Orden JUS/1293/2107, de 14 de diciembre, sobre política de seguridad de la información en el ámbito de la Administración electrónica (BOE 28 diciembre 2017), o se está trabajando en esa línea en el Ayuntamiento de Sant Feliú de Llobregat, articulando el ENS con la protección de datos en todo lo que afecta a análisis de riesgos, incorporando esa figura a la Comisión de Seguridad de la citada entidad.

Lo habitual es que en un determinado ámbito de actuación (departamentos, áreas ejecutivas o entidades del sector público, salvo que estas se agrupen) haya un DPD para cada una de ellas, pero la complejidad de determinados departamentos puede aconsejar que haya varios delegados según esferas de actuación (pensemos en ministerios o departamentos tales como Interior, Educación, Sanidad, etc.).

Dado el perfil de exigencias funcionales que se le atribuyen al DPD, así como las relativas a conocimiento y experiencia que debe acreditar para su nombramiento, este tipo de puestos de trabajo se deberán proveer entre funcionarios públicos del subgrupo de clasificación A1 (dado que ejercerán funciones de autoridad o potestades públicas) que acrediten tales competencias en procesos de provisión de puestos de trabajo abiertos. El RGPD deja claro que deben ser “puestos de plantilla” y “empleados”, algo en lo que también insiste la Nota de la AEPD que habla expresamente de “empleados públicos”, lo que parece cerrar por completo la puerta a que se cree un nivel orgánico de “alto cargo”, dado que se trata de puestos de trabajo de estructura y no aleatorios o cambiantes en función de políticas coyunturales.

No obstante, dada la dimensión trifásica de sus funciones, esto es, como (a) punto de contacto con la autoridad de control, (b) soporte y asesoramiento a la Administración pública en estos temas, y (c) instancia de resolución con carácter previo reclamaciones de los interesados sobre protección de datos (artículo 37.2 PLOPD); este puesto de trabajo tiene que configurarse como una suerte de “autoridad unipersonal independiente” que actúa en el seno de las estructuras administrativas, pero con una configuración dual (interna/externa) y de interlocución, lo que obliga a diseñar un modelo organizativo distinto y distante al tradicional. No encaja en las pautas ordinarias de la creación de puestos de trabajo en la función pública.

Es cierto que el RGPD admite que el DPD “pueda desempeñar otras funciones y cometidos”, por lo que cabría configurar una suerte de puestos de trabajo o estructuras funcionales mixtas, pero no es muy recomendable. No solo por los hipotéticos conflictos de intereses que se puedan producir, sino también por la esquizofrenia en el desarrollo de las tareas que ello comporta. Tal vez esta figura del DPD con dedicación parcial pueda ser una opción a barajar en las estructuras de gobiernos locales de pequeño o mediano tamaño o, en su defecto, en áreas de actuación pública con riesgos limitados en esta materia. En estos casos, según las Directrices citadas, debe reservarse un porcentaje de tiempo para las tareas de DPD.

La denominación del órgano “ad hoc” (y del puesto de trabajo) debería ser Delegado/a de Protección de Datos. Debe dotársele de un estatuto retributivo, al menos, similar al de una Subdirección General o Jefatura de Servicio, donde aquella no exista. Incorporarlo como “alto cargo” falsearía la finalidad y espíritu del RGPD, pues el nombramiento sería discrecional (no así el cese) y no se podrían acreditar las exigencias profesionales y de experiencia que el perfil del puesto requiere.

Final: ¿Cómo cubrir estos singulares puestos de trabajo? Los nuevos retos.
Si no se configura como alto cargo por las razones expuestas, cabe plantearse cuáles serían las soluciones institucionales que se pueden barajar en torno a la provisión del puesto de trabajo del Delegado de protección de datos. Y aquí surgen los problemas, pues se plantean dos tipos de tensiones: a) profesionalidad/discrecionalidad; y b) temporalidad/permanencia (o estabilidad). Veamos sucintamente ambas tensiones y sus consecuencias.

La primera tensión (profesionalidad/discrecionalidad) debería resolverse a favor del primer principio, puesto que una “designación discrecional” no cumpliría las exigencias mínimas establecidas por el RGPD. El procedimiento de libre designación, en su formulación tradicional, no encajaría en el espíritu ni finalidad del Reglamento, a pesar de que en este (y en el propio PLOPD se utilice la expresión “designación”: hay que tener en cuenta que se aplica también al sector privado). La única forma de paliar esta limitación estribaría en establecer previamente a la entrada en acción del procedimiento de libre designación (o de libre nombramiento) algún sistema de acreditación de competencias (incluida, en su caso, la certificación) que garantice los conocimientos, experiencia y capacidades necesarios para desarrollar esas funciones. Lo normal es que el sistema de provisión de estos puestos de trabajo recoja esas exigencias de profesionalidad y elimine o acote al máximo la discrecionalidad. La AEPD sugiere, en buena lógica y ante la carencia de perfiles especializados, “desarrollar de forma inmediata una labor de formación de posibles candidatos a ocupar por primera vez los puestos de DPD en todos los niveles de las AAPP”. 

Asimismo, también propone “establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD”. Son dos medidas sensatas, pero que se deben completar con una visión más amplia: las administraciones públicas deben invertir muchísimos recursos y tiempo en construir nuevos perfiles de puestos de trabajo relacionados con la digitalización y las TIC, así como formar intensivamente a sus empleados públicos en esta línea. La robotización y la inteligencia artificial harán desaparecer muchos puestos de trabajo del sector público (o dejarlos sin funciones), pero asimismo se demandarán otros muchos puestos de perfiles completamente distintos o nuevos y, por lo común, muy tecnificados (vinculados a la gestión de información y datos). La provisión del DPD puede ser un buen banco de pruebas. No estaría mal comenzar por ello y explorar construcción de nuevos perfiles, así como herramientas formativas.

La segunda tensión se suscita en torno a si la cobertura de tales puestos de trabajo debe ser temporal o permanente. Parece claro que son puestos de naturaleza estructural, por tanto la primera impresión sería que cabría defender su estabilidad y permanencia. Pero una cosa es que el puesto tenga ese carácter y otra bien distinta es que la persona (funcionario) que sea nombrado o designado para tales funciones deba serlo con carácter definitivo. Al ser puestos de nueva creación y sin recorrido previo en las administraciones públicas, esa puede ser una opción no exenta de riesgos. Tampoco estaría mal construir un sistema que permitiera una cierta rotación. Pero estas son decisiones organizativas. Si se va a un modelo de puestos de trabajo permanentes o estructurales rígidos, la solución sería acudir a la provisión de tales puestos por el procedimiento de concurso específico, mucho mejor que el mero y simple concurso de méritos. Si se opta por puestos de trabajo estructurales, pero con una temporalidad marcada, la opción más cabal es aplicar a la cobertura de puestos de trabajo una serie de exigencias que se derivan del estatuto jurídico de la figura del DPD según se puede derivar del RGPD: convocatoria pública, libre concurrencia, acreditación de los conocimientos, experiencia y capacidad para el desarrollo del puesto de trabajo, prever una temporalidad en su desempeño con posibilidades de volver a concursar en las sucesivas convocatorias, pero asimismo no incluir este tipo de puesto de trabajo en las relaciones de puestos de trabajo o, si se hiciera, dejarlos extramuros, dada su especial singularidad, de la negociación sindical. Para ello cabría aplicar un estatuto jurídico similar a la figura de la dirección pública profesional, pero en este caso la rendición de cuentas (evaluación) se debería vehicular, tal como expone el Reglamento, al más alto nivel jerárquico del responsable o encargado del tratamiento.

En todo caso, parece prudente que ante los obvios vacíos de regulación que ofrece el Reglamento UE 2016/679, así como frente a las anomias (auténticas “calvas”) que en esta materia tiene el PLOPD, al tratarse de una potestad de autoorganización, sea la administración pública correspondiente o el nivel de gobierno competente la instancia adecuada para elaborar alguna disposición normativa de naturaleza reglamentaria (o, en su defecto, un acuerdo de gobierno o plenario) que desbroce muchas de las incógnitas que todavía quedan a cuatro meses vista de la aplicación plena de la normativa europea. Reformar los sistemas de provisión de puestos de trabajo requiere una Ley, pero adaptar esos sistemas a las enormes singularidades que ofrece esta figura del Delegado de Protección de Datos (preludio tal vez de otras muchas que, en el campo de la digitalización y Big Data se puedan dar, también en el sector público) requiere sin duda dosis de ingenio, propuestas creativas e innovadoras y una línea de trabajo sostenida que haga avanzar a la administración pública por el camino de la profesionalización, la tecnificación y la apertura a la sociedad, en consonancia con el Gobierno Abierto y la Gobernanza Pública, ámbitos en los que también debe encajarse este nuevo e inmediato reto.

No hay comentarios:

Publicar un comentario