Por Rafael Jiménez Asensio.- Blog La Mirada Institucional.- La figura del DPD está delineada en sus rasgos
centrales por el RGPD, no teniendo la Ley Orgánica excesivo margen de
configuración o de innovación sobre cuál es su perfil o su sentido, pero aún
así la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) ha establecido una
serie de reglas de carácter complementario que terminan por dibujar más
cerradamente la naturaleza de esa figura y le dotan de un carácter singular,
sobre todo (aunque no solo) por el papel que cumple el DPD como “filtro de
resolución amistosa” en materia de reclamaciones ante la autoridad de control
respectiva en materia de protección de datos de carácter personal y,
particularmente, por lo que afecta a las diferentes (y enriquecidas)
dimensiones de derechos encuadrados dentro de ese “derecho racimo” a la
protección de datos personales y recogidos en el binomio RGPD/LOPDGDD.
El Preámbulo de la LOPDGDD incorpora una
serie de motivaciones a raíz de las cuales se justifican algunas de las
novedades que se incorporan en el citado texto normativo en relación con la
regulación ya establecida en el RGPD. Para tener una idea cabal del alcance de
esa regulación recogida en la LOPDGDD, puede ser oportuno reflejar el contenido
de algunos fragmentos de ese preámbulo. Veamos:
“La figura del delegado de protección de datos adquiere
una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley
orgánica, que parte del principio de que puede tener un carácter obligatorio o
voluntario, estar o no integrado en la organización del responsable o encargado
y ser tanto una persona física como una persona jurídica. La designación
del delegado de protección de datos ha de comunicarse a la autoridad de
protección de datos competente. La Agencia Española de Protección de Datos
mantendrá una relación pública y actualizada de los delegados de protección de
datos, accesible por cualquier persona. Los conocimientos en la materia se
podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser
removido, salvo en los supuestos de dolo o negligencia grave. Es de
destacar que el delegado de protección de datos permite configurar un medio
para la resolución amistosa de reclamaciones, pues el interesado podrá
reproducir ante él la reclamación que no sea atendida por el responsable o
encargado del tratamiento.”
Por tanto, la regulación de la figura del DPD en la
LOPDGDD reitera algunas de las características recogidas en el RGPD (artículos
37 a 39), pero con algunas exigencias adicionales. Veamos cuáles son sus rasgos
más relevantes según la regulación que lleva a cabo la citada Ley Orgánica
3/2018:
Obligación de las AAPP -y mercantiles vinculadas- de designar un DPD
-La obligación de designar un DPD por parte de las
Administraciones Públicas y en las entidades de su sector público se deriva del
propio RGPD. La referencia del RGPD a “autoridades y organismos públicos”
reenvía en su concreción al Derecho de los Estados miembros, pero la LOPDGDD no
es muy precisa en ese acotamiento (con la salvedad del artículo 77), al menos
en lo que a la obligación de disponer de un DPD comporta. No se establece, por
tanto, ninguna especificidad al respecto, ni tampoco la Ley Orgánica nos ayuda
a identificar en qué entidades del sector público es preceptivo el nombramiento
del DPD (si es en todas o solo en parte). El problema se plantea exclusivamente
con las sociedades mercantiles dependientes de una Administración Pública
(excluidas del régimen excepcional en materia sancionadora por el artículo 77 y
no incluidas expresamente, salvo que se encuadren en un sector, en el artículo
34 LOPDGDD). Una interpretación sistemática del artículo 77 con lo establecido
en la disposición adicional primera (que sí aplica a las sociedades mercantiles
“las medidas de seguridad en el sector público”, conduciría a considerar que es
recomendable dotarse de un DPD también en las sociedades mercantiles vinculadas
o dependientes de las Administraciones Públicas.
-Una vez designado, se establece la obligación de
comunicación a la autoridad de control en el plazo de diez días el nombramiento
y, en su caso, del cese del DPD (artículo 34.3)
-Se prevé, al igual que el RGPD, la dedicación a tiempo
completo o parcial del DPD, en función del tipo de datos que se traten por cada
organización (artículo 34.5)
-El DPD tiene acceso a los datos personales y procesos
de tratamiento, no pudiendo el responsable o encargado oponerse a este acceso
invocando confidencialidad o secreto
-La “obtención de titulación universitaria” (la
imprecisión de la norma es notable, pero parece referirse a postgrados o, en su
caso, masteres y no propiamente a grados universitarios) se tendrá
especialmente en cuenta para demostrar a través de mecanismos de certificación
el cumplimiento de los requisitos del artículo 37.5 RGPD
-Se prevé, también en línea con el RGPD, la garantía,
siempre que se trate de persona física, de no remoción (salvo supuestos de dolo
o negligencia grave) y de independencia, evitando cualquier conflicto de
intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos
en función del tipo de tareas que se desarrollen (dedicación parcial). Dicho de
otra manera, la exigencia de que no haya conflictos de intereses (que aparecía
reflejada en las Directrices sobre los delegados de protección de
datos del Grupo del Artículo 29) se trasladan a la LOPDGDD como garantía de
independencia y objetividad en el funcionamiento de tal figura, lo que
desaconseja que se atribuya esa condición a puestos de trabajo que puedan tener
tareas de informe jurídico o técnico relacionadas directa o indirectamente con
la protección de datos personales, sobre todo en aquellos casos en los que la
dedicación a tales funciones es parcial. Lo dicho anteriormente, tal vez desaconseje
que en el ámbito local de gobierno tales funciones de DPD se sitúen en el
ámbito de la Secretaría o de la Secretaría-Intervención, por los hipotéticos
conflictos de intereses que se pudieran producir. Según hemos visto, la figura
del DPD tampoco puede coincidir con la de responsable de seguridad.
-El DPD tiene la facultad de inspeccionar los
procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo
36)
-El DPD tiene, asimismo, la facultad de documentar y
comunicar a los órganos competentes la existencia de una vulneración relevante
en materia de protección de datos.
-Y debe destacarse, como gran novedad de la LOPDGDD en
lo que a perfil funcional de la figura respecta, el régimen de
intervención del DPD en los supuestos de reclamaciones ante las autoridades de
control (artículo 37), donde se admite que el afectado pueda presentar una
reclamación ante el DPD con carácter previo a la presentación de la reclamación
ante la autoridad de control, incorporando una suerte de recurso potestativo de
carácter administrativo que deberá resolver el órgano competente, pues
difícilmente esa resolución la podrá emitir en DPD, menos aún si es una figura
externalizada, pues se trataría del ejercicio de funciones de autoridad, aunque
estos aspectos tampoco se tratan en la LOPDGDD (pues la normativa es de
aplicación general tanto para el sector público como para el privado).
“punto de contacto” entre la ciudadanía y la Administración Pública
Se refuerza así el papel del DPD como “punto de
contacto” entre la ciudadanía (afectados) y la Administración Pública (responsable
o encargado) que ha llevado a cabo el correspondiente tratamiento. También se
prevé que la propia autoridad de control, una vez recibida una reclamación, dé
traslado al DPD a efectos de que por parte de este se responda en el plazo de
un mes a la citada reclamación. Si no hubiera DPD, la autoridad de control
podrá dirigirse al responsable o encargado del tratamiento (artículo 65.3
LOPDGDD).
Aparte de esas referencias normativas recogidas en el
Capítulo III del Título V de la LOPDGDD, que determina el régimen
complementario a la regulación del RGPD por lo que afecta al DPD (así como lo
establecido en el artículo 65.3 LOPDGDD ya citado), deben tenerse en
cuenta otra serie de exigencias adicionales que en torno a esta figura se
establecen en otros pasajes de ese nuevo marco normativo establecido en la
LOPDGDD y que impactan sobre aspectos puntuales del tratamiento de
datos personales y, en particular, sobre la figura del DPD. A saber:
-El artículo 31.1, párrafo tercero, prevé expresamente
lo siguiente: “Cuando el responsable o el encargado del tratamiento hubieran
designado un delegado de protección de datos deberán comunicarle cualquier
adición, modificación o exclusión en el contenido del registro (se refiere
al Registro de Actividades de Tratamiento).
-El artículo 70.2 prevé lo siguiente: No será de
aplicación al delegado de protección de datos el régimen sancionador establecido
en el Título IX de la LOPDGDD.
-Por su parte, en materia de régimen sancionador,
se establecen las siguientes infracciones y una previsión en materia de
graduación de sanciones que no resulta, en principio, de aplicación al sector
público (salvo que a las empresas públicas no se entienda que es exigible
el nombramiento de DPD):
-Tendrá la consideración de infracción grave, según el artículo
73 v): “El incumplimiento de la obligación de designar un delegado de
protección de datos cuando sea exigible su nombramiento de acuerdo con el
artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley
orgánica”.
-Asimismo, también tendrá la consideración de
infracción grave, según el artículo 73 w) LOPDGDD: “No posibilitar la efectiva
participación del delegado de protección de datos en todas las cuestiones
relativas a la protección de datos personales, no respaldarlo o interferir
en el desempeño de sus funciones”.
-Tendrá la consideración de infracción leve, según se
prevé en el artículo 74 p) LOPDGDD: “No publicar los datos de contacto del
delegado de protección de datos, o no comunicarlos a la autoridad de protección
de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del
Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
-Y, en fin, el artículo 76.2, en lo que afecta a la
graduación de sanciones, establece que se tendrá en cuenta disponer, cuando no
fuera obligatorio, de la figura del delegado de protección de datos.
Régimen sancionador
En todos estos supuestos, como es ya conocido, se debe
resaltar que el régimen sancionador aplicable a las Administraciones Públicas y
a la mayor parte de las entidades del sector público (salvo las empresas
públicas) es un sistema blando o mucho más benevolente que el
que se aplica a los responsables y encargados del tratamiento del sector
privado, tal como prevé el artículo 77 LOPDGDD (sanciones de apercibimiento y,
en determinadas circunstancias, publicidad de las sanciones).
La disposición adicional decimosexta (“prácticas
agresivas en materia de protección de datos”) recoge que, a efectos de la Ley
3/1991, de competencia desleal, se considerará práctica agresiva en
materia de protección de datos, el ejercicio de las funciones de delegado de
protección de datos sin designación expresa del responsable o encargado del
tratamiento o comunicarse en tal condición con las autoridades de control (sin
haber nombramiento efectivo).
Datos de salud
Y, en fin, la disposición adicional decimoséptima,
relativa a los tratamientos de salud, establece dos previsiones en relación con
la figura del DPD. A saber:
-Por un lado, la letra g) prevé que el uso de datos
personales seudonimizados con fines de investigación en salud pública (y, en
particular, biomédica), deberá ser sometido a informe previo del comité de
ética de la investigación que se prevea en la normativa sectorial. Si no
existiera Comité de Ética, la entidad responsable de la investigación requerirá
informe previo del delegado de protección de datos o, en su defecto, de un
experto con conocimientos en los ámbitos establecidos en el artículo 37.5 RGPD.
-Por otro, una vez constituidos los Comités de Ética de
la investigación, y siempre que se ocupen de actividades de investigación que
comporten el tratamiento de datos personales o de datos seudonimizados o
anonimizados, deberán integrar en su seno a un delegado de protección de datos
o, en su defecto, a un experto con conocimientos en los ámbitos establecidos en
el artículo 37.5 RGPD.
Una vez expuestas esas novedades, conviene llamar
la atención sobre la necesidad objetiva (aparte de la obligación inexcusable,
cuyo incumplimiento es motivo de infracción) que tienen las Administraciones
Públicas de dotarse de esa figura de Delegado de Protección de Datos como apoyo
imprescindible al responsable o encargado del tratamiento para la necesaria
adaptación de su sistema de gestión de protección de datos personales a
las innumerables innovaciones que el RGPD insertó en su día en esta materia y
que la LOPDGDD ha desarrollado puntualmente en algunos casos. La correcta
aplicación del RGPD y la garantía de los derechos de los ciudadanos dependen en
gran medida de la configuración correcta de esta figura. En todo caso, es
preciso tener en cuenta el carácter vicarial de la LOPDGDD en relación con el
RGPD, que también se refleja en este supuesto, pues la regulación sustantiva de
esa figura se encuentra en los artículos 37 a 39 (así como en otras muchas
referencias indirectas en el resto del articulado) del RGPD, normas que deben
leerse de conformidad con lo establecido en el Considerando 97 del reiterado
Reglamento europeo.
No hay comentarios:
Publicar un comentario