EL DELEGADO DE PROTECCIÓN DE DATOS (SECTOR PÚBLICO) EN LA LEY ORGÁNICA 3/2018

 

data protection

La figura del DPD está delineada en sus rasgos centrales por el RGPD, no teniendo la Ley Orgánica excesivo margen de configuración o de innovación sobre cuál es su perfil o su sentido, pero aún así la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) ha establecido una serie de reglas de carácter complementario que terminan por dibujar más cerradamente la naturaleza de esa figura y le dotan de un carácter singular, sobre todo (aunque no solo) por el papel que cumple el DPD como “filtro de resolución amistosa” en materia de reclamaciones ante la autoridad de control respectiva en materia de protección de datos de carácter personal y, particularmente, por lo que afecta a las diferentes (y enriquecidas) dimensiones de derechos encuadrados dentro de ese “derecho racimo” a la protección de datos personales y recogidos en el binomio RGPD/LOPDGDD.

El Preámbulo de la LOPDGDD incorpora una serie de motivaciones a raíz de las cuales se justifican algunas de las novedades que se incorporan en el citado texto normativo en relación con la regulación ya establecida en el RGPD. Para tener una idea cabal del alcance de esa regulación recogida en la LOPDGDD, puede ser oportuno reflejar el contenido de algunos fragmentos de ese preámbulo. Veamos:

“La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.”

Por tanto, la regulación de la figura del DPD en la LOPDGDD reitera algunas de las características recogidas en el RGPD (artículos 37 a 39), pero con algunas exigencias adicionales. Veamos cuáles son sus rasgos más relevantes según la regulación que lleva a cabo la citada Ley Orgánica 3/2018:

  • La obligación de designar un DPD por parte de las Administraciones Públicas y en las entidades de su sector público se deriva del propio RGPD. La referencia del RGPD a «autoridades y organismos públicos» reenvía en su concreción al Derecho de los Estados miembros, pero la LOPDGDD no es muy precisa en ese acotamiento (con la salvedad del artículo 77), al menos en lo que a la obligación de disponer de un DPD comporta. No se establece, por tanto, ninguna especificidad al respecto, ni tampoco la Ley Orgánica nos ayuda a identificar en qué entidades del sector público es preceptivo el nombramiento del DPD (si es en todas o solo en parte). El problema se plantea exclusivamente con las sociedades mercantiles dependientes de una Administración Pública (excluidas del régimen excepcional en materia sancionadora por el artículo 77 y no incluidas expresamente, salvo que se encuadren en un sector, en el artículo 34 LOPDGDD). Una interpretación sistemática del artículo 77 con lo establecido en la disposición adicional primera (que sí aplica a las sociedades mercantiles «las medidas de seguridad en el sector público», conduciría a considerar que es recomendable dotarse de un DPD también en las sociedades mercantiles vinculadas o dependientes de las Administraciones Públicas.
  • Una vez designado, se establece la obligación de comunicación a la autoridad de control en el plazo de diez días el nombramiento y, en su caso, del cese del DPD (artículo 34.3)
  • Se prevé, al igual que el RGPD, la dedicación a tiempo completo o parcial del DPD, en función del tipo de datos que se traten por cada organización (artículo 34.5)
  • El DPD tiene acceso a los datos personales y procesos de tratamiento, no pudiendo el responsable o encargado oponerse a este acceso invocando confidencialidad o secreto
  • La “obtención de titulación universitaria” (la imprecisión de la norma es notable, pero parece referirse a postgrados o, en su caso, masteres y no propiamente a grados universitarios) se tendrá especialmente en cuenta para demostrar a través de mecanismos de certificación el cumplimiento de los requisitos del artículo 37.5 RGPD
  • Se prevé, también en línea con el RGPD, la garantía, siempre que se trate de persona física, de no remoción (salvo supuestos de dolo o negligencia grave) y de independencia, evitando cualquier conflicto de intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos en función del tipo de tareas que se desarrollen (dedicación parcial). Dicho de otra manera, la exigencia de que no haya conflictos de intereses (que aparecía reflejada en las Directrices sobre los delegados de protección de datos del Grupo del Artículo 29) se trasladan a la LOPDGDD como garantía de independencia y objetividad en el funcionamiento de tal figura, lo que desaconseja que se atribuya esa condición a puestos de trabajo que puedan tener tareas de informe jurídico o técnico relacionadas directa o indirectamente con la protección de datos personales, sobre todo en aquellos casos en los que la dedicación a tales funciones es parcial. Lo dicho anteriormente, tal vez desaconseje que en el ámbito local de gobierno tales funciones de DPD se sitúen en el ámbito de la Secretaría o de la Secretaría-Intervención, por los hipotéticos conflictos de intereses que se pudieran producir. Según hemos visto, la figura del DPD tampoco puede coincidir con la de responsable de seguridad.
  • El DPD tiene la facultad de inspeccionar los procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
  • El DPD tiene, asimismo, la facultad de documentar y comunicar a los órganos competentes la existencia de una vulneración relevante en materia de protección de datos.
  • Y debe destacarse, como gran novedad de la LOPDGDD en lo que a perfil funcional de la figura respecta, el régimen de intervención del DPD en los supuestos de reclamaciones ante las autoridades de control (artículo 37), donde se admite que el afectado pueda presentar una reclamación ante el DPD con carácter previo a la presentación de la reclamación ante la autoridad de control, incorporando una suerte de recurso potestativo de carácter administrativo que deberá resolver el órgano competente, pues difícilmente esa resolución la podrá emitir en DPD, menos aún si es una figura externalizada, pues se trataría del ejercicio de funciones de autoridad, aunque estos aspectos tampoco se tratan en la LOPDGDD (pues la normativa es de aplicación general tanto para el sector público como para el privado).
  • Se refuerza así el papel del DPD como “punto de contacto” entre la ciudadanía (afectados) y la Administración Pública (responsable o encargado) que ha llevado a cabo el correspondiente tratamiento. También se prevé que la propia autoridad de control, una vez recibida una reclamación, dé traslado al DPD a efectos de que por parte de este se responda en el plazo de un mes a la citada reclamación. Si no hubiera DPD, la autoridad de control podrá dirigirse al responsable o encargado del tratamiento (artículo 65.3 LOPDGDD).

Aparte de esas referencias normativas recogidas en el Capítulo III del Título V de la LOPDGDD, que determina el régimen complementario a la regulación del RGPD por lo que afecta al DPD (así como lo establecido en el artículo 65.3 LOPDGDD ya citado), deben tenerse en cuenta otra serie de exigencias adicionales que en torno a esta figura se establecen en otros pasajes de ese nuevo marco normativo establecido en la LOPDGDD y que impactan sobre aspectos puntuales del tratamiento de datos personales y, en particular, sobre la figura del DPD. A saber:

  • El artículo 31.1, párrafo tercero, prevé expresamente lo siguiente: “Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro (se refiere al Registro de Actividades de Tratamiento).
  • El artículo 70.2 prevé lo siguiente: No será de aplicación al delegado de protección de datos el régimen sancionador establecido en el Título IX de la LOPDGDD.
  • Por su parte, en materia de régimen sancionador, se establecen las siguientes infracciones y una previsión en materia de graduación de sanciones que no resulta, en principio, de aplicación al sector público (salvo que a las empresas públicas no se entienda que es exigible el nombramiento de DPD):
    • Tendrá la consideración de infracción grave, según el artículo 73 v): “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”.
    • Asimismo, también tendrá la consideración de infracción grave, según el artículo 73 w) LOPDGDD: “No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones”.
    • Tendrá la consideración de infracción leve, según se prevé en el artículo 74 p) LOPDGDD: “No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
    • Y, en fin, el artículo 76.2, en lo que afecta a la graduación de sanciones, establece que se tendrá en cuenta disponer, cuando no fuera obligatorio, de la figura del delegado de protección de datos.
    • En todos estos supuestos, como es ya conocido, se debe resaltar que el régimen sancionador aplicable a las Administraciones Públicas y a la mayor parte de las entidades del sector público (salvo las empresas públicas) es un sistema blando o mucho más benevolente que el que se aplica a los responsables y encargados del tratamiento del sector privado, tal como prevé el artículo 77 LOPDGDD (sanciones de apercibimiento y, en determinadas circunstancias, publicidad de las sanciones).
  • La disposición adicional decimosexta (“prácticas agresivas en materia de protección de datos”) recoge que, a efectos de la Ley 3/1991, de competencia desleal, se considerará práctica agresiva en materia de protección de datos, el ejercicio de las funciones de delegado de protección de datos sin designación expresa del responsable o encargado del tratamiento o comunicarse en tal condición con las autoridades de control (sin haber nombramiento efectivo).
  • Y, en fin, la disposición adicional decimoséptima, relativa a los tratamientos de salud, establece dos previsiones en relación con la figura del DPD. A saber:
    • Por un lado, la letra g) prevé que el uso de datos personales seudonimizados con fines de investigación en salud pública (y, en particular, biomédica), deberá ser sometido a informe previo del comité de ética de la investigación que se prevea en la normativa sectorial. Si no existiera Comité de Ética, la entidad responsable de la investigación requerirá informe previo del delegado de protección de datos o, en su defecto, de un experto con conocimientos en los ámbitos establecidos en el artículo 37.5 RGPD.
    • Por otro, una vez constituidos los Comités de Ética de la investigación, y siempre que se ocupen de actividades de investigación que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados, deberán integrar en su seno a un delegado de protección de datos o, en su defecto, a un experto con conocimientos en los ámbitos establecidos en el artículo 37.5 RGPD.

Una vez expuestas esas novedades, conviene llamar la atención sobre la necesidad objetiva (aparte de la obligación inexcusable, cuyo incumplimiento es motivo de infracción) que tienen las Administraciones Públicas de dotarse de esa figura de Delegado de Protección de Datos como apoyo imprescindible al responsable o encargado del tratamiento para la necesaria adaptación de su sistema de gestión de protección de datos personales a las innumerables innovaciones que el RGPD insertó en su día en esta materia y que la LOPDGDD ha desarrollado puntualmente en algunos casos. La correcta aplicación del RGPD y la garantía de los derechos de los ciudadanos dependen en gran medida de la configuración correcta de esta figura. En todo caso, es preciso tener en cuenta el carácter vicarial de la LOPDGDD en relación con el RGPD, que también se refleja en este supuesto, pues la regulación sustantiva de esa figura se encuentra en los artículos 37 a 39 (así como en otras muchas referencias indirectas en el resto del articulado) del RGPD, normas que deben leerse de conformidad con lo establecido en el Considerando 97 del reiterado Reglamento europeo.