"Los datos son el eje de todo y supondrán un desafío para
nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)
“No existen métodos infalibles que nos preparen plenamente
para el mundo de los datos masivos; tendremos que establecer principios nuevos
para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la
responsabilidad de los individuos hacia los usuarios de datos: es decir, que
rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir
el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la
analítica de datos masivos” (p. 236)
(Mayer-Schönberger, K. Cukier, Big Data. La revolución
de los datos masivos. Turner, 2013)
Por Rafael Jiménez Asensio. Blog La Mirada Institucional.- Pretensión de esta entrada.-.Faltan poco más de cuatro meses (el 25 de mayo de 2018) para
la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y
del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos. Mientras tanto, en paralelo, acaba de
comenzar la tramitación en el Congreso de los Diputados del Proyecto de Ley
Orgánica de protección de datos de carácter personal (BOCG; Congreso de los
Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta
(o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de
diciembre) al nuevo marco normativo establecido en la Unión Europea.
Entre las novedades que se incorporaron en ese RGPD se prevé
la obligación de que las autoridades u organismos públicos “designen” un delegado
de protección de datos (DPD, en lo sucesivo). En esta entrada me interesa
particularmente poner el foco de atención en tres cuestiones: 1) El estatuto de
esa figura (lo que el RGPD y el PLOPD califican como “posición”); 2) La
proyección orgánica que debería tener ese DPD en la estructura administrativa;
y 3) El sistema de provisión y algunos detalles del régimen jurídico aplicable
al DPD. Sin orillar, no obstante, otros temas que sugeriré al final de este
post.
Enmarcando el problema
Resulta oportuno enmarcar la figura del DPD en los objetivos
generales de la regulación europea. No es adjetivo que el legislador europeo
haya optado esta vez por regular esta materia por Reglamento y no por
Directiva, como antaño (deroga, así, la Directiva 95/46/CE). Sin entrar en
otras consideraciones, el Reglamento UE deja clara la necesidad de “garantizar
un nivel uniforme y elevado de protección de las personas físicas”, expone que
el “tratamiento de dichos datos debe ser equivalente en todos los Estados
miembros” y se pretende que la aplicación de las normas en esta materia “sea
coherente y homogénea” (10). Pero todo ello hay que ponerlo en conexión con la
finalidad de la norma de que las personas físicas tengan un control de sus
propios datos, así como con la necesidad de “reforzar la seguridad jurídica y
práctica para las personas físicas, los operadores económicos y las autoridades
públicas”. Y todo ello por una razón de contexto muy obvia, que se expresa con
carácter diáfano en el considerando 6 del Reglamento:
“La rápida evolución tecnológica y la globalización han
planteado nuevos retos para la protección de los datos personales. La magnitud
de la recogida y del intercambio de datos personales ha aumentado de manera
significativa. La tecnología permite que tanto las empresas privadas como las
autoridades públicas utilicen datos personales en una escala sin precedentes a
la hora de realizar sus actividades.
Las personas físicas difunden un volumen
cada vez mayor de información personal a escala mundial. La tecnología ha
transformado tanto la economía como la vida social, y ha de facilitar aún más
la libre circulación de datos personales dentro de la Unión y la transferencia
a terceros países y organizaciones internacionales, garantizando al mismo
tiempo un elevado nivel de protección de los datos personales.
En efecto, una sociedad globalizada e interconectada de
forma intensiva y extensiva abre unos escenarios nuevos a la protección de
datos de las personas físicas, dejando añejas determinadas formas de regular
esa materia y obligando a afrontar esos problemas con fórmulas nuevas. También
por lo que afecta al tratamiento de esos datos en el sector público. En esta
línea cabe incluir la regulación de la evaluación de impacto relativa a la
protección de datos (artículo 35 RGPD), la creación de la figura del Delegado
de Protección de Datos o, en fin, la incorporación de los códigos de conducta
como medio de autorregulación para la correcta aplicación del Reglamento
(artículos 40 y 41 RGPD), así como la creación de mecanismos de certificación.
Se trata, en verdad, de articular sistemas que opten por una línea preventiva
en aquellos ámbitos de alto riesgo para los derechos y libertades de las
personas físicas, particularmente en aquellas entidades que llevan a cabo
operaciones de tratamiento de datos a gran escala, algo que habitualmente las
administraciones públicas y sus entidades del sector público realizan. Los
datos en una sociedad digitalizada e instantánea no puede apenas detenerse una
vez que estos circulan libremente. La seguridad de la información y de los
datos es clave en el sector público. Identificar los riesgos y prevenir, así
como garantizar los derechos de las personas físicas, son soluciones correctas.
En esas coordenadas, aunque no exclusivamente, se debe entender la figura del
DPD en las administraciones públicas.
Líneas-fuerza de la figura del Delegado de Protección de
Datos
El considerando 97 del RGPD deja bien preciso que el DPD es
una figura que “ayuda” (colaborador necesario lo podríamos denominar) al
responsable o encargado de protección de datos en la aplicación efectiva del
Reglamento, debiendo ser aquel “una persona con conocimientos
especializados del Derecho y la práctica en materia de protección de datos si
el tratamiento lo realiza una autoridad pública” (con excepción del poder
judicial). Es una suerte de “delegado de cumplimiento” del RGPD. La relación
entre DPD y RGPD es completa
Allí también se indica algo que no es menos importante en lo
que afecta al estatuto jurídico del DPD, que no solo debe garantizarse su
cobertura por persona con cualificación acreditada, sino además el propio
Reglamento exige que a tal figura se le ha de garantizar un funcionamiento independiente,
lo cual no es nada adjetivo, sino todo lo contrario:
“El nivel de conocimiento especializado necesario se debe
determinar, en particular, en función de las operaciones de tratamiento de
datos que se lleven a cabo y de la protección exigida para los datos personales
tratados por el responsable o el encargado. Tales delegados de protección de
datos sean o no empleados del responsable del tratamiento, deben estar en
condiciones de desempeñar sus funciones y cometidos de manera independiente”
Por tanto, hay cuatro notas que el RGPD ha querido remarcar
de la finalidad de la figura. A saber: a) Que el DPD es una figura de “ayuda” o
de colaboración necesaria (por exigencia normativa) con el responsable o
encargado de protección de datos en las funciones de cumplimiento del
Reglamento; b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo
una autoridad pública, la persona nombrada como DPD debe acreditar
“conocimientos especializados del Derecho y la práctica en materia de
protección de datos” (por consiguiente, tales conocimientos se deberían
acreditar en un procedimiento objetivo: el PLOPD (en línea con el RGPD) admite
la certificación “entre otros medios” para acreditar tales exigencias; artículo
35; ver: Esquema AEPD-PDP); c) Que el PDP puede ser “un empleado” de la
Administración Pública o se pueden contratar esos servicios con un profesional
o empresa externo; y d) Que esa figura debe tener un estatuto jurídico que
salvaguarde su independencia, lo cual incorpora un elemento existencial y
diferencial a lo que sea el DPD en las administraciones públicas en relación
con otros puestos orgánicos.
Estatuto jurídico del Delegado de Protección de Datos
Todas las administraciones y organismos públicos deben
disponer de esta figura de modo preceptivo. La primera decisión que se ha de
adoptar al respecto es si se opta por crear una o varias figuras en la
estructura o por acudir a un contrato de servicios, aunque en esta segunda
modalidad no parece muy apropiado (dada su naturaleza independiente) echar mano
de un procedimiento de contratación directa sin licitación ni pliegos de
condiciones.
Pero al margen de esa primera decisión, el RGPD establece
los perfiles básicos de esa figura en el ámbito de las administraciones
públicas. A saber:
-El DPD, tal como ya se ha dicho, “será designado atendiendo
a sus cualidades profesionales y, en particular, a sus conocimientos
especializados del Derecho y la práctica en materia de protección de datos y a
su capacidad para desempeñar las funciones indicadas en el artículo 39” (37.5). Por tanto, se
deberían acreditar conocimientos especializados, experiencia en la materia y
capacidad (competencias efectivas) para desempeñar las funciones asignadas. En
el sector público el DPD “debe también poseer un conocimiento sólido de las
normas y procedimientos administrativos de la organización” y, entre sus
cualidades personales, se deben incluir “la integridad y un nivel elevado de
ética profesional” (Directrices sobre delegados de protección de datos 16/ES,
WP 243 rev.01). Algo muy importante.
-El RGPD le asigna al DPD unas funciones mínimas (artículo
39) que se proyectan, entre otros ámbitos, sobre la tarea de información y
asesoramiento al responsable o encargado de la protección de datos; la
supervisión de la normativa aplicable en la materia; ofrecer asesoramiento
sobre la evaluación de impacto relativa a la protección de datos; cooperar con
la autoridad de control; y, en fin, actuar como punto de contacto con la
autoridad de control. El PLOPD incrementa esas funciones con la de actuar como órgano
(unipersonal) de reclamación preliminar a la autoridad de control, lo que dota
al puesto en el sector público de un inevitable perfil jurídico. De tales
funciones se puede apreciar un perfil dual interno/externo, que singulariza su
posición en la estructura, así como de un carácter peculiar adicional, sobre
todo por ser punto de contacto con la autoridad de control. No tiene parangón
en la estructura tradicional de puestos de trabajo en las administraciones
públicas. Y así hay que entenderlo.
-El responsable o encargado del tratamiento de datos
personales garantizará que el DPD “participe de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos”. Por
tanto, su participación debe ser efectiva, no puede ser orillado nunca en tales
procesos de tratamiento de datos (artículo 38.1).
-En consecuencia, en línea con lo anterior, la Administración
Pública o el órgano (departamento o entidad) a la que se adscriba el DPD facilitará
“los recursos necesarios para el desempeño de dichas funciones y el acceso
a los datos personales y a las operaciones de tratamiento, y para el
mantenimiento de sus conocimientos especializados” (38.2). En suma, esa
dotación de recursos debe ser asimismo efectiva y se le debe proveer (por parte
de la Administración) de la formación continua oportuna que le permita ejercer
sus funciones en un entorno de permanente cambio y transformación, como es el
ámbito de las tecnologías y del tratamiento de datos. Cabría plantearse cuáles
son las soluciones ante un obstruccionismo del responsable o encargado del
tratamiento de datos: ¿podría acudir a la autoridad de control?; ¿qué
mecanismos de reacción se prevén? En principio, hay una anomia legal en este
punto
-La nota determinante o existencial de su estatuto jurídico
es, sin embargo, la de que se salvaguarde su posición de independencia
frente al responsable o encargado de la protección de datos. En efecto, el
artículo 38.3 RGPD concreta esa garantía de independencia en los siguientes
términos: “El responsable y el encargado del tratamiento garantizarán que
el delegado de protección de datos no reciba ninguna instrucción en lo que
respecta al desempeño de dichas funciones”. Se debe preservar su autonomía
funcional, por lo que debe quedar extramuros de la línea jerárquica de la
organización, transformándose en una suerte de “autoridad independiente
individual (o unipersonal)” pero inserta (lo cual es tremendamente singular) en
el seno de la estructura administrativa (a la que “asesora”, “aconseja” o
“alerta”; pero no debe formar parte de la estructura decisional, pues está
exento de responsabilidad). Y, además, el RGPD blinda al titular del cargo
frente a ceses discrecionales (al igual que en el modelo de autoridades
independientes) y ante la aplicación del régimen sancionador por el ejercicio
de sus funciones. Así se regula este blindaje: “No será destituido ni
sancionado por el responsable o el encargado por desempeñar sus funciones. El
delegado de protección de datos rendirá cuentas directamente al más alto nivel
jerárquico del responsable o encargado”. Si rinde cuentas al máximo nivel
es normal que “su posición estructural” esté libre de cualquier dependencia.
Estas notas son muy importantes, en efecto, para definir –como se hará
inmediatamente- la posición estructural en la organización del DPD. El PLOPD
lleva a cabo alguna precisión sobre este tema en su artículo 36.2, y al efecto
expone: “Cuando se trate de una persona física integrada en la organización del
responsable o encargado del tratamiento, el delegado de protección de datos no
podrá ser removido ni sancionado por el responsable o el encargado por
desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su
ejercicio”. En qué casos se puede sancionar y por quién, son dos preguntas que
también cabe resolver.
-Su dimensión “exógena” se advierte no solo en su papel de
“interlocución” con la autoridad de control, sino además porque, según el
artículo 38.4 del RGPD los interesados pueden ponerse en contacto con el DPD en
relación con el tratamiento de sus datos personales y el ejercicio de sus
derechos (¿una suerte de Ombudsman interno en materia de protección de datos?).
Esta función se ve acrecentada por lo establecido en el artículo 37 del PLOPD,
que transforma ese órgano en una instancia preliminar de reclamaciones en
materia de protección de datos antes de que se acuda a la autoridad de control,
con el fin, no escondido, de servir de filtro a esta. Una actuación
potestativa, pero menos: pues la autoridad de control tiene la obligación de enviarle
cualquier tipo de reclamación que se haga per saltum (artículo 37.2
PLOPD), para su previa valoración.
Y, en fin, el DPD está obligado a mantener el secreto o la
confidencialidad en lo que respecta al desempeño de sus funciones (38.5 RGPD).
¿Qué nivel orgánico debería tener en la estructura el
Delegado de Protección de Datos?
No cabe duda que el estatuto jurídico descrito a grandes
rasgos condiciona una de las decisiones más relevantes a la hora de insertar la
figura del DPD en la estructura organizativa. Tras la decisión de internalizar
o externalizar la figura, la segunda más relevante desde el plano organizativo
es dónde y cómo se inserta el DPD en la estructura de la Administración
Pública; esto es, qué nivel orgánico y en qué posición queda en relación con el
resto de órganos y unidades, especialmente en lo que tiene que ver con el
responsable y encargado de tratamiento de los datos personales.
Pero hay otra decisión previa a la expuesta. Y tiene que ver
sobre si se crea una sola figura o se multiplica esta en función de áreas,
departamentos o entidades. El RGPD parece dejar abiertas las dos posibilidades,
pero solo en apariencia. En su artículo 37.3 se expone lo siguiente: “Cuando el
responsable o encargado del tratamiento sea una autoridad u organismo, se
podrá designar un único delegado de protección de datos para varias de estas
autoridades u organismos, teniendo en cuenta su estructura organizativa y
tamaño”. No cabe duda que una entidad local de pequeño o mediano tamaño podría
optar por la creación de una figura singular, pero un nivel de gobierno de
cierta complejidad (por su estructura de áreas, departamental o de entidades
vinculadas, dependientes o adscritas) parece razonable (según el espíritu del
RGPD) que se incline por la implantación de delegados de protección de datos en
cada ámbito previamente definido (algunas áreas o departamentos especialmente
sensibles deberán disponer probablemente de varios delegados). Cabe preguntarse
asimismo si el DPD podría tener personal a su servicio, tanto auxiliar como
técnico. La respuesta debe ser afirmativa. El DPD es un nivel orgánico ad
hoc, pero también un puesto de trabajo singular.
Las decisiones organizativas que ya vienen predeterminas por
el RGPD, aparte de la anteriormente señalada, son las siguientes:
-El DPD, si está internalizado, forma parte de “la plantilla”
del responsable o del encargado del tratamiento (hay que entender, por tanto,
de la organización o estructura de la Administración Pública o entidad del
sector público correspondiente). La opción alternativa, como se ha visto, es
externalizar a través de un contrato de servicios; pero habría que dejar muy
claro en los pliegos el carácter y naturaleza de tales servicios, el estatuto
singular, así como sus dimensiones y funciones.
-La figura del DPD se caracteriza, tal como se ha visto, por
su peculiar estatuto, cuya nota dominante es la independencia funcional. Por
tanto, esa unidad orgánica o ese puesto de trabajo no puede estar incorporado
en la línea jerárquica de ninguna estructura: debe crearse una estructura
organizativa ad hoc, singularizada por su no dependencia orgánica ni
funcional, pero adscrita desde el punto de vista presupuestario a un
departamento o área de actuación. La AEPD considera que debe adscribirse a
órganos o unidades de naturaleza “horizontal”, pero eso no es lo determinante
(cuestión formal), sino que el aspecto crucial es que el diseño organizativo
por el que se adopte salvaguarde plenamente la independencia en su
funcionamiento (cuestión material).
-En cualquier caso, el DPD no es una pieza aislada del modelo
organizativo, sino que se debe incardinar en el modelo de seguridad de la
información de cada entidad pública y formar parte de los órganos que se creen
con esa finalidad (con las singularidades que presenta; esto es, como “asesor”,
pero no como miembro de pleno derecho). Su inserción en el sistema de seguridad
se ha hecho, por ejemplo, la Orden JUS/1293/2107, de 14 de diciembre, sobre
política de seguridad de la información en el ámbito de la Administración electrónica
(BOE 28 diciembre 2017), o se está trabajando en esa línea en el Ayuntamiento
de Sant Feliú de Llobregat, articulando el ENS con la protección de datos en
todo lo que afecta a análisis de riesgos, incorporando esa figura a la Comisión
de Seguridad de la citada entidad.
Lo habitual es que en un determinado ámbito de actuación
(departamentos, áreas ejecutivas o entidades del sector público, salvo que
estas se agrupen) haya un DPD para cada una de ellas, pero la complejidad de
determinados departamentos puede aconsejar que haya varios delegados según
esferas de actuación (pensemos en ministerios o departamentos tales como
Interior, Educación, Sanidad, etc.).
Dado el perfil de exigencias funcionales que se le atribuyen
al DPD, así como las relativas a conocimiento y experiencia que debe acreditar
para su nombramiento, este tipo de puestos de trabajo se deberán proveer entre
funcionarios públicos del subgrupo de clasificación A1 (dado que ejercerán
funciones de autoridad o potestades públicas) que acrediten tales competencias
en procesos de provisión de puestos de trabajo abiertos. El RGPD deja claro que
deben ser “puestos de plantilla” y “empleados”, algo en lo que también insiste
la Nota de la AEPD que habla expresamente de “empleados públicos”, lo que parece
cerrar por completo la puerta a que se cree un nivel orgánico de “alto cargo”,
dado que se trata de puestos de trabajo de estructura y no aleatorios o
cambiantes en función de políticas coyunturales.
No obstante, dada la dimensión trifásica de sus funciones,
esto es, como (a) punto de contacto con la autoridad de control, (b) soporte y
asesoramiento a la Administración pública en estos temas, y (c) instancia de
resolución con carácter previo reclamaciones de los interesados sobre
protección de datos (artículo 37.2 PLOPD); este puesto de trabajo tiene que
configurarse como una suerte de “autoridad unipersonal independiente” que actúa
en el seno de las estructuras administrativas, pero con una configuración dual
(interna/externa) y de interlocución, lo que obliga a diseñar un modelo
organizativo distinto y distante al tradicional. No encaja en las pautas
ordinarias de la creación de puestos de trabajo en la función pública.
Es cierto que el RGPD admite que el DPD “pueda desempeñar
otras funciones y cometidos”, por lo que cabría configurar una suerte de
puestos de trabajo o estructuras funcionales mixtas, pero no es muy
recomendable. No solo por los hipotéticos conflictos de intereses que se puedan
producir, sino también por la esquizofrenia en el desarrollo de las tareas que
ello comporta. Tal vez esta figura del DPD con dedicación parcial pueda ser una
opción a barajar en las estructuras de gobiernos locales de pequeño o mediano
tamaño o, en su defecto, en áreas de actuación pública con riesgos limitados en
esta materia. En estos casos, según las Directrices citadas, debe
reservarse un porcentaje de tiempo para las tareas de DPD.
La denominación del órgano “ad hoc” (y del puesto de
trabajo) debería ser Delegado/a de Protección de Datos. Debe dotársele de un estatuto
retributivo, al menos, similar al de una Subdirección General o Jefatura de
Servicio, donde aquella no exista. Incorporarlo como “alto cargo” falsearía la
finalidad y espíritu del RGPD, pues el nombramiento sería discrecional (no así
el cese) y no se podrían acreditar las exigencias profesionales y de
experiencia que el perfil del puesto requiere.
Final: ¿Cómo cubrir estos singulares puestos de trabajo? Los
nuevos retos.
Si no se configura como alto cargo por las razones
expuestas, cabe plantearse cuáles serían las soluciones institucionales que se
pueden barajar en torno a la provisión del puesto de trabajo del Delegado de
protección de datos. Y aquí surgen los problemas, pues se plantean dos tipos de
tensiones: a) profesionalidad/discrecionalidad; y b) temporalidad/permanencia
(o estabilidad). Veamos sucintamente ambas tensiones y sus consecuencias.
La primera tensión (profesionalidad/discrecionalidad)
debería resolverse a favor del primer principio, puesto que una “designación
discrecional” no cumpliría las exigencias mínimas establecidas por el RGPD. El
procedimiento de libre designación, en su formulación tradicional, no encajaría
en el espíritu ni finalidad del Reglamento, a pesar de que en este (y en el
propio PLOPD se utilice la expresión “designación”: hay que tener en cuenta que
se aplica también al sector privado). La única forma de paliar esta limitación
estribaría en establecer previamente a la entrada en acción del procedimiento
de libre designación (o de libre nombramiento) algún sistema de acreditación de
competencias (incluida, en su caso, la certificación) que garantice los
conocimientos, experiencia y capacidades necesarios para desarrollar esas
funciones. Lo normal es que el sistema de provisión de estos puestos de trabajo
recoja esas exigencias de profesionalidad y elimine o acote al máximo la
discrecionalidad. La AEPD sugiere, en buena lógica y ante la carencia de
perfiles especializados, “desarrollar de forma inmediata una labor de formación
de posibles candidatos a ocupar por primera vez los puestos de DPD en todos los
niveles de las AAPP”.
Asimismo, también propone “establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD”. Son dos medidas sensatas, pero que se deben completar con una visión más amplia: las administraciones públicas deben invertir muchísimos recursos y tiempo en construir nuevos perfiles de puestos de trabajo relacionados con la digitalización y las TIC, así como formar intensivamente a sus empleados públicos en esta línea. La robotización y la inteligencia artificial harán desaparecer muchos puestos de trabajo del sector público (o dejarlos sin funciones), pero asimismo se demandarán otros muchos puestos de perfiles completamente distintos o nuevos y, por lo común, muy tecnificados (vinculados a la gestión de información y datos). La provisión del DPD puede ser un buen banco de pruebas. No estaría mal comenzar por ello y explorar construcción de nuevos perfiles, así como herramientas formativas.
Asimismo, también propone “establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD”. Son dos medidas sensatas, pero que se deben completar con una visión más amplia: las administraciones públicas deben invertir muchísimos recursos y tiempo en construir nuevos perfiles de puestos de trabajo relacionados con la digitalización y las TIC, así como formar intensivamente a sus empleados públicos en esta línea. La robotización y la inteligencia artificial harán desaparecer muchos puestos de trabajo del sector público (o dejarlos sin funciones), pero asimismo se demandarán otros muchos puestos de perfiles completamente distintos o nuevos y, por lo común, muy tecnificados (vinculados a la gestión de información y datos). La provisión del DPD puede ser un buen banco de pruebas. No estaría mal comenzar por ello y explorar construcción de nuevos perfiles, así como herramientas formativas.
La segunda tensión se suscita en torno a si la cobertura de
tales puestos de trabajo debe ser temporal o permanente. Parece claro que son
puestos de naturaleza estructural, por tanto la primera impresión sería que
cabría defender su estabilidad y permanencia. Pero una cosa es que el puesto
tenga ese carácter y otra bien distinta es que la persona (funcionario) que sea
nombrado o designado para tales funciones deba serlo con carácter definitivo.
Al ser puestos de nueva creación y sin recorrido previo en las administraciones
públicas, esa puede ser una opción no exenta de riesgos. Tampoco estaría mal
construir un sistema que permitiera una cierta rotación. Pero estas son
decisiones organizativas. Si se va a un modelo de puestos de trabajo
permanentes o estructurales rígidos, la solución sería acudir a la provisión de
tales puestos por el procedimiento de concurso específico, mucho mejor que el
mero y simple concurso de méritos. Si se opta por puestos de trabajo
estructurales, pero con una temporalidad marcada, la opción más cabal es
aplicar a la cobertura de puestos de trabajo una serie de exigencias que se
derivan del estatuto jurídico de la figura del DPD según se puede derivar del
RGPD: convocatoria pública, libre concurrencia, acreditación de los
conocimientos, experiencia y capacidad para el desarrollo del puesto de
trabajo, prever una temporalidad en su desempeño con posibilidades de volver a
concursar en las sucesivas convocatorias, pero asimismo no incluir este tipo de
puesto de trabajo en las relaciones de puestos de trabajo o, si se hiciera,
dejarlos extramuros, dada su especial singularidad, de la negociación sindical.
Para ello cabría aplicar un estatuto jurídico similar a la figura de la
dirección pública profesional, pero en este caso la rendición de cuentas
(evaluación) se debería vehicular, tal como expone el Reglamento, al más alto
nivel jerárquico del responsable o encargado del tratamiento.
En todo caso, parece prudente que ante los obvios vacíos de
regulación que ofrece el Reglamento UE 2016/679, así como frente a las anomias
(auténticas “calvas”) que en esta materia tiene el PLOPD, al tratarse de una
potestad de autoorganización, sea la administración pública correspondiente o
el nivel de gobierno competente la instancia adecuada para elaborar alguna
disposición normativa de naturaleza reglamentaria (o, en su defecto, un acuerdo
de gobierno o plenario) que desbroce muchas de las incógnitas que todavía
quedan a cuatro meses vista de la aplicación plena de la normativa europea.
Reformar los sistemas de provisión de puestos de trabajo requiere una Ley, pero
adaptar esos sistemas a las enormes singularidades que ofrece esta figura del
Delegado de Protección de Datos (preludio tal vez de otras muchas que, en el
campo de la digitalización y Big Data se puedan dar, también en el sector
público) requiere sin duda dosis de ingenio, propuestas creativas e innovadoras
y una línea de trabajo sostenida que haga avanzar a la administración pública
por el camino de la profesionalización, la tecnificación y la apertura a la
sociedad, en consonancia con el Gobierno Abierto y la Gobernanza Pública,
ámbitos en los que también debe encajarse este nuevo e inmediato reto.
No hay comentarios:
Publicar un comentario