ORGANIZACION

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ORGANIZACIONES PÚBLICAS [1]

Do-I-need-a-Data-Protection-Officer

 

“Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)

“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)

(Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)

 

Introducción

Faltan poco más de dos meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras tanto, en paralelo, la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea, sigue su curso. Aunque todo apunta que no podrá estar aprobada esta Ley antes del 25 de mayo del presente año, pues cuando esto se escribe no han sido aceptadas las enmiendas a la totalidad en el debate al efecto que se ha realizado en el Congreso de los Diputados y aún se está en el trámite de presentación de enmiendas (con ampliación reiterada del plazo para presentar las mismas)[2], quedando pendiente su tramitación y aprobación en esta Cámara y la subsiguiente intervención del Senado (y, en su caso, el retorno otra vez a la Cámara baja). Poco tiempo para que vea la luz antes de la fecha indicada. Por tanto, el presente trabajo se centrará en la regulación del RGPD y hará alguna mención circunstancial al PLOPD, con la advertencia que la redacción final de la Ley que aprueben las Cortes Generales puede variar notablemente algunas partes de su contenido.

La importancia del RGPD no puede ser puesta en cuestión. Aunque posteriormente pondré de relieve cuáles son algunos de sus precedentes, cabe subrayar ahora que la revolución tecnológica, en la que ya se encuentra inmerso el mundo actual, se caracteriza por la trascendencia que tienen los datos, también –aunque no solo- en la propia economía. Se ha dicho, por ejemplo, que los datos son el petróleo de la economía digital, pero eso no es completamente cierto, pues –tal como afirma Franklin Foer, “los datos son infinitamente renovables, no son finitos como el petróleo”[3]. La amenaza a la intimidad por el (mal) uso de los datos es obvia, por tanto. Para entender esa amenaza se pueden traer a colación muchas reflexiones, cada día más abundantes dentro del género de ensayo, pero sin entrar en una larga lista de citas sí que puede ser oportuno en estos momentos recordar lo que dijo en su día uno de los principales asesores de una de las grandes empresas que ejercen el monopolio o cuasi monopolio de Internet. Eric Schmidt, reconocía con toda su crudeza lo siguiente: “Sabemos dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás pensando”. El riesgo, por tanto, para la intimidad de las personas que representa esa acumulación de datos y ese cruce casi infinito de los mismos está meridianamente claro. Timothy Garton Ash, en un interesante libro, también nos lo ha recordado recientemente: “Ahora todos somos palomas como transmisor”. Y tambien nos recuerda unas palabras del experto en seguridad, Bruce Schneider, que se jactaba de que “la vigilancia es el modelo de negocio de Internet”, y concluía del siguiente modo: “”Nosotros construimos sistemas que espían a las personas a cambio de servicios”[4]. Por tanto, queda meridianamente claro que el desafío real y tangible a la privacidad es ya un hecho, que se irá acrecentado con el paso del tiempo. Y las respuestas ante esta amenaza son complejas, pero cualquier solución al problema –como ha recordado recientemente el filósofo Luc Ferry en su última y recomendable obra[5]– pasa inevitablemente por la regulación. No hay otra vía. Por eso es de gran trascendencia el alcance que tiene la aprobación del RGPD, que representa un cambio cualitativo en el modo y manera de regular este ámbito de la protección de datos de carácter personal por las instituciones de la Unión Europea, como se verá de inmediato.

No cabe duda, como se ha reiterado hasta la saciedad, que el RGPD supone un auténtico cambio de paradigma en la configuración normativa del problema. Las causas de esta regulación se analizan después, pero están indisolublemente unidas, tal como decía, al desarrollo de la revolución tecnológica, pero también a esa revolución social que ha implicado el desarrollo de Internet y en especial de las redes sociales, aparte de la omnipresencia del buscador de Google, como se ha denominado. Todo ello ha conducido a que “las personas hayan cambiado radicalmente sus hábitos pasando de ser muy celosas de sus datos en los 90 hasta el escenario actual en el que se facilitan abiertamente”. Pero el cambio real de paradigma se advierte, tal como se dirá, en una suerte de “responsabilidad proactiva”, que representa –como se ha dicho- “nuestra mayoría de edad en lo relativo a la protección de datos personales”, puesto que “el nuevo Reglamento deja en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento”[6]. El giro en el modelo es, ciertamente, radical; pues se asienta, tal como se verá, en una serie de herramientas de control interno que se ven reforzadas y de las que la figura del Delegado de Protección de Datos es una de las piezas clave, pues por parte de los responsables y encargos del tratamiento hay una obligación de adaptar una política de privacy by design y de privacy by default cada vez que se vayan a tratar datos personales.  Una figura que encontraba alguna referencia incidental en el considerando 49 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, así como en alguna otra práctica tanto de las instituciones europas como de algunos de los Estados miembros, pero aún así su encaje en el modelo final resultante puede considerarse como una de las más importantes novedades de la regulación actual.

En efecto, en relación con ese nuevo marco normativo hay una opinión común a la hora de resaltar que una de las novedades más relevantes que se incorporaron a ese RGPD fue sin duda la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo; o también denominado por sus siglas en inglés, DPO: Date Protector Officer). En efecto, ese cambio de paradigma que se intenta impulsar con el RGPD, y al que también haré referencia en páginas posteriores, no puede realizarse plenamente sin un papel activo y determinante de esta nueva figura que es el DPD, que debe velar por el cumplimiento de la normativa en materia de protección de datos entre otras muchas funciones. La política de compliance pide paso también en lo que a protección de datos respecta.

En este trabajo interesa particularmente poner el foco de atención en aquellas cuestiones que afectan al perfil de la figura y a su correcto encuadre en las organizaciones públicas, en especial –dado el foro en el que este trabajo se presenta- a los problemas que se pueden plantear en lo que afecta a su aplicación en las entidades locales. La figura, en cualquier caso, trasciende con mucho los contornos del sector público, para adentrarse con fuerza en el ámbito privado, particularmente empresarial, pero este enfoque no puede ser objeto de análisis en estos momentos. Nos ocupa, por tanto, el impacto de la figura en el sector público. A tal efecto, centraré la atención de modo prioritario en los siguientes puntos:

1) El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”).

2) Las funciones del DPD, tal como aparecen recogidas en el binomio RGPD-PLOPD.

3) La proyección orgánica que debe tener ese DPD en la estructura administrativa y qué problemas se plantean al respecto.

4) El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD en las Administraciones Públicas.

Y, por último,

5) Algunas referencias incidentales, que se recogen a lo largo del texto a las líneas básicas del régimen sancionador aplicable a los responsables y encargados de las Administraciones Públicas y de los organismos y entidades de Derecho Público vinculadas o dependientes de aquellas o en su caso adscritas (Consorcios), así como las que sean aplicable, con carácter general, a los responsables o encargados de las sociedades mercantiles de capital público.

En cualquier caso, lo que sigue no pasa de ser un primer estudio de un problema no exento de notable complejidad y plagado aún (dada su novedad y la impronta singular de la normativa en la que se encuadra) de innumerables incógnitas o dudas aplicativas. A algunas de estas dudas se les intentará dar una respuesta razonable en estas páginas, otras permanecerán abiertas y, en fin, ciertas interpretaciones que aquí de defienden deberán ser contrastadas por su aplicación futura. También veremos hasta qué punto la futura LOPD viene en nuestra ayuda y solventa o no ciertas cuestiones hoy en día abiertas. Por tanto, quedan aún muchas preguntas por responder. Y no pretendo, obviamente, dar solución a todas, sino abrir un camino de reflexión y debate sobre tan importante tema.

No obstante, con carácter previo, conviene llevar a cabo algunas reflexiones de naturaleza introductoria que nos enmarquen con carácter general el problema y, asimismo, nos sitúen en cuáles son las claves generales de por qué se ha aprobado por la Unión Europea esta normativa específica a través de una fuente del Derecho tan reforzada como es la de un Reglamento General de la Unión Europea (al ser obligatorio en todos sus elementos, tener aplicabilidad general y uniforme en todos los países y para todos los ciudadanos y entidades de la UE).

[1] El presente texto es la Ponencia que, sobre el mismo tema, ha sido remitida al Seminario de Actualización de Función Pública organizado por la Federació de Municipis de Catalunya, y que ha tenido lugar el día 20 de marzo en el IDEC-UPF, en Barcelona. Agradezco al Secretario General de la FMC, Juan Ignacio Soto, así como a la Coordinadora del Seminario, Carme Noguer, la amabilidad que han tenido al permitir la difusión de esta Ponencia a través de otros medios.

[2] Véase: Diario de Sesiones. Congreso de los Diputados, núm. 104, 15-02-2018, pp. 28 y ss.

[3] F. Foer, Un mundo sin ideas. Las amenazas de las grandes empresas a nuestra identidad, Paidós, 2017.

[4] Y Schneider, como nos recuerda Timothy Garton Ash, “nos compara con arrendatarios agrícolas en las grandes fincas de Google o Facebook. La renta que pagamos –concluye- son nuestros datos personales” (Libertad de palabra. Diez principios para un mundo interconectado, Tusquets, 2017, pp. 387-388).

[5] L. Ferry, La revolución transhumanista. Cómo la tecnomedicina y la Uberización del mundo van a transformar nuestras vidas, Alianza Editorial, 2017.

[6] J. L. Rivas López y V. Salgado Seguín, “Hacia la seguridad de los datos después del Reglamento Europeo”. Se puede consultar en abierto en Internet

LEER O CONSULTAR ARTÍCULO ÍNTEGRO: ARTICULO-DPD-4

LA DIRECCIÓN PÚBLICA PROFESIONAL EN ESPAÑA: ERRORES DE CONCEPTO

senior civil service 

“Recientemente la OCDE ha recordado a España la necesidad de regular la figura del directivo público en términos que permitan garantizar su profesionalidad e imparcialidad, en la medida en que ‘un estatuto del directivo público permitirá establecer nítidamente la separación entre política y administración, al tiempo que responsabilizaría a los directivos públicos de los resultados de gestión de sus organizaciones’”

(AAVV, Nuevos tiempos para la función pública, INAP, 2017, pp. 194-195)

 

Hace más de diez años que el Estatuto Básico del Empleado Público estableció una regulación gaseosa y evanescente, marcada además por el principio dispositivo y mal planteada desde la perspectiva institucional y técnica, de la figura de la dirección pública profesional (DPP). De esos polvos, vienen estos lodos. Transcurrido un período de tiempo notable, la implantación de la DPP es prácticamente anecdótica y escasamente funcional. No ha cambiado nada el statu quo dominante: la politización sigue haciendo estragos en la alta administración sin que esa pretendida barrera legal lo impida. Porque, sencillamente, o no se aplica (que es lo común) o, cuando se regula o se desarrolla, se hace mal.

Si algo debe pretender una regulación de esas características, tal como se ha hecho en un buen número de democracias avanzadas y en otras que no lo son tanto, es profesionalizar determinados niveles de dirección pública, previamente definidos; esto es, impedir que su designación y su cese sean discrecionales, introduciendo criterios de libre concurrencia y de competencia profesional en los nombramientos y un estatuto jurídico que, ante un correcto desempeño de las funciones a través de la evaluación de su gestión, ponga al abrigo de la política los ceses intempestivos de ese personal, lo que exige que, al menos, durante un período de tiempo predeterminado (3, 4 o 5 años) las personas designadas no puedan ser cesadas discrecionalmente. Unas garantías imprescindibles para hablar de profesionalización. Si no se cumplen, estamos hablando de otra cosa. Por mucho que adjetivemos a “la cosa” resultante como “profesional”. El nombre no cambia la esencia.

Las taras del imperfecto modelo que en muy pocos casos y con errores considerables se ha implantado en España en algunas administraciones públicas (autonómicas y locales) es, cuando menos, una pura farsa. No es dirección pública profesional. Es otra cosa. La Administración General del Estado hasta hoy (y a pesar de voces cualificadas en su seno que abogan por su regulación) ni se ha dado por enterada. Allí, de momento, la DPP no existe. Se incluyó en la Ley de Agencias de 2006, no se aplicó y ya ha sido derogada. En lo demás, la callada por respuesta: en la alta administración del Estado se proveen los puestos directivos como siempre (libre nombramiento y cese; o libre designación).

Los mayores avances (siempre aparentes) se han producido en algunas leyes autonómicas que regulan esta institución aplicando los principios de publicidad, libre concurrencia y de idoneidad, mérito y capacidad (recogidos en el artículo 13 TREBEP), mediante una acreditación de competencias (aunque a veces se confunden interesadamente requisitos con competencias) que no se define en su alcance en la fase de designación y que se reenvían a su concreción reglamentaria. Se pretende acotar, así, la designación (o la terna, en su caso) a aquellas personas que acrediten tales competencias (que con carácter previo se deberían delimitar precisamente). No es mala solución, si se hace bien y por un órgano independiente, amén de cualificado. Pero esa pretendida solución “profesional” se contamina de inmediato con una trampa (permitida por el propio EBEP): las exigencias profesionales para el nombramiento se convierten en facilidades absolutas para el cese, que cabe siempre hacer efectivo discrecionalmente. Esta chapuza me recuerda a una solución tercermundista que me planteó un alto funcionario en un país cuando desarrollaba tareas de consultoría institucional: “Queremos –me dijo- una función pública (pongan aquí dirección pública) en la que sea muy difícil entrar y muy fácil salir”. El dedo democrático en este caso no se utilizaría para nombrar, pero quedaría siempre en manos del político el uso de la guillotina para cesar, sin razón profesional alguna que justifique esa muerte súbita. Pues ese y no otro es el modelo por el que optan la inmensa mayoría de las leyes de función pública autonómica que han incorporado “tan novedosa” figura. Dicho de otro modo, un modelo así no sirve para nada. Para engañar a la ciudadanía con retórica vacua, hacerse trampas en el solitario y seguir erosionando la profesionalización efectiva del empleo público.

En honor a la verdad hay una excepción y otras que quedaron por el camino. La Ley de Instituciones Locales de Euskadi (2/2016) prevé un modelo de dirección pública profesional algo más perfeccionado, aunque no exento de algunas confusiones (mezcla órganos directivos con régimen jurídico del personal directivo). Pero que nadie usa, al menos de momento. Corre riesgo de convertirse en reliquia. El resto de instituciones públicas que optaron por establecer esa figura han ido, por lo común, a un nombramiento formalmente revestido de idoneidad (con exigencias blandas) y con cese discrecional. Una inutilización efectiva de una figura que potencialmente tenía muchas posibilidades. Pero que fue mal concebida. En verdad, nadie se la cree, menos aún una política escéptica y mal informada frente a las bondades de disponer de una DPP. No cabe olvidar que la creación del Senior Civil Service en el Reino Unido, estructura profesional donde las haya, fue una decisión política. En efecto, fue el liderazgo político quien descubrió esa ventana de oportunidad. Aquí mientras tanto la política sigue sumida en el velo de la ignorancia o en el fomento de la clientela.

El primer gran error fue regular la dirección pública profesional (DPP) en una Ley de Función Pública o de Empleo Público. La dirección pública tiene un alto componente organizativo y debe volcarse sobre la alta Administración, sin perjuicio que deba proyectarse también sobre la alta función pública; pero ambas son piezas que deben ir unidas. Con esa sutil operación se quiso dejar fuera de la DPP a esa categoría tan «española» de los altos cargos, como botín exclusivo de la política. ¿Cómo si buena parte de estos no ejercieran funciones directivas y no debieran tener una impronta profesional? Así es en todos los países que han implantado la DPP. Y no vayamos solo al entorno anglosajón o nórdico, quedémonos más cerca. Miremos lo que han hecho Bélgica o Portugal (ejemplo a seguir), por no decir Chile. Para sí lo quisiéramos nosotros. Tenemos mucho que aprender de esos países en esta materia. Allí los puestos asimilables a lo que aquí entendemos como de dirección general y de subdirección general son niveles de DPP: se nombran por libre concurrencia y por competencias profesionales, se evalúa su gestión y tienen una duración temporal previamente acotada. No caben los ceses discrecionales. Aquí, la incomprensión absoluta de la figura, una regulación altamente deficiente y la (mala) política, lo ahoga todo. Cóctel explosivo donde los haya.

Por tanto, al regular la figura en el EBEP se dejaron fuera los niveles directivos cubiertos por “altos cargos”, pues objetivamente esa norma no los podía prever. Esa legislación básica, por tanto, pretendía solo resolver una parte del problema: la provisión de puestos directivos en la alta función pública. De hecho, si se fijan, la dirección pública profesional en el EBEP se diseñó como alternativa al sistema de libre designación en la función pública del que desaparecieron las referencias a los puestos directivos (véase artículo 80 EBEP y compárese con el anterior artículo 20.1 b) de la Ley 30/1984, así como con las leyes autonómicas que desarrollaron esta última Ley). Por tanto, el EBEP (no podía hacer otra cosa) creó un dirección pública estructuralmente “chata” y además basada en el principio dispositivo: los puestos directivos de la función pública se podrían cubrir, a partir de entonces, a través de la libre designación (como lo vienen haciendo «por inercia» la inmensa mayoría de las administraciones públicas) o por medio de esa DPP “descafeinada” (como lo hacen algunas otras). Hecha la Ley, hecha la trampa. Siempre encontramos (o diseñamos) por dónde escapar.

Por tanto, hay cosas que no se entienden. La primera: si la DPP se trata de un sustitutivo de la LD, ¿por qué el EBEP incluye que “cuando el personal directivo reúna la condición de personal laboral estará sometido a la relación laboral de alta dirección”?, ¿pretendía el EBEP dinamitar la alta función pública permitiendo la entrada colateral de personal externo a puestos reservados a funcionarios que no comportaran ejercicio de autoridad? Mi lectura es que no, que esa posibilidad excepcional solo estaba preferentemente diseñada para puestos directivos del sector público institucional enmarcado en el ámbito de aplicación del EBEP y no, por lo común, para puestos de estructura reservados a la función pública, salvo la creación “ex novo” de un puesto directivo con carácter coyuntural o temporal (proyectos de innovación o transformación, por ejemplo) que, por sus especiales características (piénsese en el ámbito de las TIC, del Big Data o, en general, de la digitalización) no existan funcionarios (y así se acredite) que lo puedan cubrir. Utilizar con carácter general esa posibilidad abierta es mentar al diablo en una función pública altamente corporativizada (piénsese, por ejemplo, en el gran lío, por no llamarle soberano “pollo”, que se ha montado recientemente en la Junta de Castilla-La Mancha con su proyecto de Reglamento de DPP; en realidad el problema no es otra cosa que una cuestión de concepto, mal entendido por el legislador y mal aplicado por quien pretendía desarrollarlo).

La segunda cuestión ininteligible es el uso perverso con que una regulación pensada exclusivamente para el empleo público se ha trasladado sin pestañear al ámbito de la alta administración (o estructura político-administrativa) de las entidades locales, en concreto a los municipios de gran población y, más recientemente, a las Diputaciones provinciales. La culpa en origen procede de otro error de bulto en el concepto de lo que es el marco normativo actual de la DPP, cometido esta vez por algunos Tribunales Superiores de Justicia en diferentes pronunciamientos, algunos ya de hace varios años (en relación con los municipios de gran población) y otros más recientes (en lo que afecta a las Diputaciones provinciales). Veremos qué dice el Tribunal Supremo, pero de momento esa dilatada doctrina jurisprudencial no ha creado más que confusión y maridaje impropio entre lo que es una regulación exclusivamente dirigida al empleo público (EBEP) con otra solamente encaminada a dar respuestas organizativas a las estructuras de dirección política (y, por tanto, cambiantes en función del color político y de las prioridades de cada equipo de gobierno) de esas entidades locales (LBRL).

En efecto, cabe subrayar con trazo grueso que la regulación de los órganos directivos de los artículos 130 (municipios de gran población) y 32 bis LBRL (Diputaciones provinciales) tiene, tal como está diseñada, una dimensión claramente organizativa o institucional de naturaleza política. Nada que ver, por mucho que se indague, con el empleo público. Y estaba pensada esa estructura para dar respuesta a la carencia de la figura de los “altos cargos” en determinadas instituciones locales. Recuérdese el origen de la inclusión del título X de la LBRL: el afán del entonces Alcalde de Madrid (Ruiz Gallardón) de disponer de una estructura político-administrativa similar a la que tenía en la Comunidad de Madrid, homologando por tanto a los grandes municipios con el diseño organizativo de la alta administración (órganos superiores y directivos) que llevó a cabo la LOFAGE (hoy derogada). Si no se comprende esto, no se entiende nada. La dirección pública local (no profesional en su diseño legal; por mucho que se hable «de competencia y experiencia») se vehicula a través de una dimensión orgánica, no de régimen jurídico del empleo público (con la salvedad de los titulares de órganos directivos reservados por Ley a los funcionarios con habilitación de carácter nacional): quien es nombrado lo es como titular de un órgano directivo, independientemente que tenga la condición previa de funcionario o no (aunque la regla general, al igual que en la AGE, es que el nombrado sea funcionario del grupo de clasificación A1 y, como excepción tasada y motivada, que pueda ser cubierto por quien no tenga esa condición). En virtud de ese nombramiento ejerce potestades públicas durante el tiempo que permanezca en el cargo: nada tiene que ver con el régimen jurídico funcionarial o del personal de alta dirección. Es, por consiguiente, titular de un órgano directivo en virtud de nombramiento, igual que los altos cargos de la Administración General del Estado. Se proveen tales órganos por libre nombramiento y libre cese de sus titulares, por tanto están estrechamente unidos al ciclo político. De ahí que, actualmente, la regulación de esa figura (y las consabidas excepciones a la provisión de tales puestos por funcionarios de carrera del subgrupo de clasificación A1), se haga en el Reglamento Orgánico. Y de ahí también que tales puestos estructurales no deban aparecer en la relación de puestos de trabajo, pues no son de la estructura de la función pública sino de la organización político-administrativa Por tanto, se trata de una figura similar a la de los altos cargos de la Administración a nivel local. Una figura, esta de los altos cargos, que en el mundo local no deja de plantear complejo encuadre, aunque el título II de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, haya hecho un uso (más bien impropio e inadecuado) de ella, sobre todo en los municipios de régimen común. Pero, al menos, en los municipios de gran población y en las diputaciones provinciales debe quedar claro que tal figura encaja, por lo común, con quienes son titulares de los órganos directivos (coordinadores y directores generales, esencialmente), que, también por lo común, se pueden modular o alterar estructuralmente en cada mandato en función de las prioridades políticas que cada equipo de gobierno pretende impulsar. Y no tienen (o necesariamente no deben tener) tales órganos directivos, por tanto, carácter estructural permanente ni tampoco se pueden aplicar a los mismos (como si de un chicle se tratara) las reglas de provisión de puestos directivos profesionales establecidas en el artículo 13 del EBEP, exclusivamente previstas para ser aplicadas al empleo público, por mucho que se empeñen los tribunales de justicia. Una confusión grave, con efectos no menos importantes, que alguien (Tribunal Supremo o, en su caso, legislador básico) deberá corregir algún día.

En fin, son solo algunas precisiones conceptuales que nos permiten entender mejor algunas de las causas que explican por qué en España ha fracasado estrepitosamente la inserción de esa figura de la dirección pública profesional. Hay otras causas y probablemente de igual o mayor importancia, sin duda, que sirven para comprender ese fracaso institucional (así, de naturaleza histórica, “cultural”, política o, incluso, económica y social). De momento, sin entrar en mayores detalles (que trato con cierto extensión en un artículo que próximamente se difundirá) quedémonos con que sin un marco conceptual claro sobre una determinada institución (como es en este caso la DPP) es muy difícil legislar cabalmente o desarrollar normativamente esa figura, así como también resulta complejo aplicarla de forma razonable, tanto en la práctica ejecutiva como en el quehacer de los tribunales. Sin conceptos precisos, legislar, ejecutar o juzgar, se transforman en tareas imposibles o, peor aún, preñadas de confusión.

EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS

 

“Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)

“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)

(Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)

Pretensión de esta entrada

Faltan poco más de cuatro meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras tanto, en paralelo, acaba de comenzar la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea.

Entre las novedades que se incorporaron en ese RGPD se prevé la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo). En esta entrada me interesa particularmente poner el foco de atención en tres cuestiones: 1) El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”); 2) La proyección orgánica que debería tener ese DPD en la estructura administrativa; y 3) El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD. Sin orillar, no obstante, otros temas que sugeriré al final de este post.

Enmarcando el problema

Resulta oportuno enmarcar la figura del DPD en los objetivos generales de la regulación europea. No es adjetivo que el legislador europeo haya optado esta vez por regular esta materia por Reglamento y no por Directiva, como antaño (deroga, así, la Directiva 95/46/CE). Sin entrar en otras consideraciones, el Reglamento UE deja clara la necesidad de “garantizar un nivel uniforme y elevado de protección de las personas físicas”, expone que el “tratamiento de dichos datos debe ser equivalente en todos los Estados miembros” y se pretende que la aplicación de las normas en esta materia “sea coherente y homogénea” (10). Pero todo ello hay que ponerlo en conexión con la finalidad de la norma de que las personas físicas tengan un control de sus propios datos, así como con la necesidad de “reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”. Y todo ello por una razón de contexto muy obvia, que se expresa con carácter diáfano en el considerando 6 del Reglamento:

“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera signifi­cativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

En efecto, una sociedad globalizada e interconectada de forma intensiva y extensiva abre unos escenarios nuevos a la protección de datos de las personas físicas, dejando añejas determinadas formas de regular esa materia y obligando a afrontar esos problemas con fórmulas nuevas. También por lo que afecta al tratamiento de esos datos en el sector público. En esta línea cabe incluir la regulación de la evaluación de impacto relativa a la protección de datos (artículo 35 RGPD), la creación de la figura del Delegado de Protección de Datos o, en fin, la incorporación de los códigos de conducta como medio de autorregulación para la correcta aplicación del Reglamento (artículos 40 y 41 RGPD), así como la creación de mecanismos de certificación. Se trata, en verdad, de articular sistemas que opten por una línea preventiva en aquellos ámbitos de alto riesgo para los derechos y libertades de las personas físicas, particularmente en aquellas entidades que llevan a cabo operaciones de tratamiento de datos a gran escala, algo que habitualmente las administraciones públicas y sus entidades del sector público realizan. Los datos en una sociedad digitalizada e instantánea no puede apenas detenerse una vez que estos circulan libremente. La seguridad de la información y de los datos es clave en el sector público. Identificar los riesgos y prevenir, así como garantizar los derechos de las personas físicas, son soluciones correctas. En esas coordenadas, aunque no exclusivamente, se debe entender la figura del DPD en las administraciones públicas.

Líneas-fuerza de la figura del Delegado de Protección de Datos

El considerando 97 del RGPD deja bien preciso que el DPD es una figura que “ayuda” (colaborador necesario lo podríamos denominar) al responsable o encargado de protección de datos en la aplicación efectiva del Reglamento, debiendo ser aquel “una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública” (con excepción del poder judicial). Es una suerte de “delegado de cumplimiento” del RGPD. La relación entre DPD y RGPD es completa.

Allí también se indica algo que no es menos importante en lo que afecta al estatuto jurídico del DPD, que no solo debe garantizarse su cobertura por persona con cualificación acreditada, sino además el propio Reglamento exige que a tal figura se le ha de garantizar un funcionamiento independiente, lo cual no es nada adjetivo, sino todo lo contrario:

“El nivel de conocimiento especializado necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”

Por tanto, hay cuatro notas que el RGPD ha querido remarcar de la finalidad de la figura. A saber: a) Que el DPD es una figura de “ayuda” o de colaboración necesaria (por exigencia normativa) con el responsable o encargado de protección de datos en las funciones de cumplimiento del Reglamento; b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD debe acreditar “conocimientos especializados del Derecho y la práctica en materia de protección de datos” (por consiguiente, tales conocimientos se deberían acreditar en un procedimiento objetivo: el PLOPD (en línea con el RGPD) admite la certificación “entre otros medios” para acreditar tales exigencias; artículo 35; ver: Esquema AEPD-PDP); c) Que el PDP puede ser “un empleado” de la Administración Pública o se pueden contratar esos servicios con un profesional o empresa externo; y d) Que esa figura debe tener un estatuto jurídico que salvaguarde su independencia, lo cual incorpora un elemento existencial y diferencial a lo que sea el DPD en las administraciones públicas en relación con otros puestos orgánicos.

Estatuto jurídico del Delegado de Protección de Datos

Todas las administraciones y organismos públicos deben disponer de esta figura de modo preceptivo. La primera decisión que se ha de adoptar al respecto es si se opta por crear una o varias figuras en la estructura o por acudir a un contrato de servicios, aunque en esta segunda modalidad no parece muy apropiado (dada su naturaleza independiente) echar mano de un procedimiento de contratación directa sin licitación ni pliegos de condiciones.

Pero al margen de esa primera decisión, el RGPD establece los perfiles básicos de esa figura en el ámbito de las administraciones públicas. A saber:

  • El DPD, tal como ya se ha dicho, “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39” (37.5). Por tanto, se deberían acreditar conocimientos especializados, experiencia en la materia y capacidad (competencias efectivas) para desempeñar las funciones asignadas. En el sector público el DPD “debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización” y, entre sus cualidades personales, se deben incluir “la integridad y un nivel elevado de ética profesional” (Directrices sobre delegados de protección de datos 16/ES, WP 243 rev.01). Algo muy importante.
  • El RGPD le asigna al DPD unas funciones mínimas (artículo 39) que se proyectan, entre otros ámbitos, sobre la tarea de información y asesoramiento al responsable o encargado de la protección de datos; la supervisión de la normativa aplicable en la materia; ofrecer asesoramiento sobre la evaluación de impacto relativa a la protección de datos; cooperar con la autoridad de control; y, en fin, actuar como punto de contacto con la autoridad de control. El PLOPD incrementa esas funciones con la de actuar como órgano (unipersonal) de reclamación preliminar a la autoridad de control, lo que dota al puesto en el sector público de un inevitable perfil jurídico. De tales funciones se puede apreciar un perfil dual interno/externo, que singulariza su posición en la estructura, así como de un carácter peculiar adicional, sobre todo por ser punto de contacto con la autoridad de control. No tiene parangón en la estructura tradicional de puestos de trabajo en las administraciones públicas. Y así hay que entenderlo.
  • El responsable o encargado del tratamiento de datos personales garantizará que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos”. Por tanto, su participación debe ser efectiva, no puede ser orillado nunca en tales procesos de tratamiento de datos (artículo 38.1).
  • En consecuencia, en línea con lo anterior, la Administración Pública o el órgano (departamento o entidad) a la que se adscriba el DPD facilitará “los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados” (38.2). En suma, esa dotación de recursos debe ser asimismo efectiva y se le debe proveer (por parte de la Administración) de la formación continua oportuna que le permita ejercer sus funciones en un entorno de permanente cambio y transformación, como es el ámbito de las tecnologías y del tratamiento de datos. Cabría plantearse cuáles son las soluciones ante un obstruccionismo del responsable o encargado del tratamiento de datos: ¿podría acudir a la autoridad de control?; ¿qué mecanismos de reacción se prevén? En principio, hay una anomia legal en este punto
  • La nota determinante o existencial de su estatuto jurídico es, sin embargo, la de que se salvaguarde su posición de independencia frente al responsable o encargado de la protección de datos. En efecto, el artículo 38.3 RGPD concreta esa garantía de independencia en los siguientes términos: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”. Se debe preservar su autonomía funcional, por lo que debe quedar extramuros de la línea jerárquica de la organización, transformándose en una suerte de “autoridad independiente individual (o unipersonal)” pero inserta (lo cual es tremendamente singular) en el seno de la estructura administrativa (a la que “asesora”, “aconseja” o “alerta”; pero no debe formar parte de la estructura decisional, pues está exento de responsabilidad). Y, además, el RGPD blinda al titular del cargo frente a ceses discrecionales (al igual que en el modelo de autoridades independientes) y ante la aplicación del régimen sancionador por el ejercicio de sus funciones. Así se regula este blindaje: “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”. Si rinde cuentas al máximo nivel es normal que “su posición estructural” esté libre de cualquier dependencia. Estas notas son muy importantes, en efecto, para definir –como se hará inmediatamente- la posición estructural en la organización del DPD. El PLOPD lleva a cabo alguna precisión sobre este tema en su artículo 36.2, y al efecto expone: “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio”. En qué casos se puede sancionar y por quién, son dos preguntas que también cabe resolver.
  • Su dimensión “exógena” se advierte no solo en su papel de “interlocución” con la autoridad de control, sino además porque, según el artículo 38.4 del RGPD los interesados pueden ponerse en contacto con el DPD en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos (¿una suerte de Ombudsman interno en materia de protección de datos?). Esta función se ve acrecentada por lo establecido en el artículo 37 del PLOPD, que transforma ese órgano en una instancia preliminar de reclamaciones en materia de protección de datos antes de que se acuda a la autoridad de control, con el fin, no escondido, de servir de filtro a esta. Una actuación potestativa, pero menos: pues la autoridad de control tiene la obligación de enviarle cualquier tipo de reclamación que se haga per saltum (artículo 37.2 PLOPD), para su previa valoración.
  • Y, en fin, el DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones (38.5 RGPD).

¿Qué nivel orgánico debería tener en la estructura el Delegado de Protección de Datos?

No cabe duda que el estatuto jurídico descrito a grandes rasgos condiciona una de las decisiones más relevantes a la hora de insertar la figura del DPD en la estructura organizativa. Tras la decisión de internalizar o externalizar la figura, la segunda más relevante desde el plano organizativo es dónde y cómo se inserta el DPD en la estructura de la Administración Pública; esto es, qué nivel orgánico y en qué posición queda en relación con el resto de órganos y unidades, especialmente en lo que tiene que ver con el responsable y encargado de tratamiento de los datos personales.

Pero hay otra decisión previa a la expuesta. Y tiene que ver sobre si se crea una sola figura o se multiplica esta en función de áreas, departamentos o entidades. El RGPD parece dejar abiertas las dos posibilidades, pero solo en apariencia. En su artículo 37.3 se expone lo siguiente: “Cuando el responsable o encargado del tratamiento sea una autoridad u organismo, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”. No cabe duda que una entidad local de pequeño o mediano tamaño podría optar por la creación de una figura singular, pero un nivel de gobierno de cierta complejidad (por su estructura de áreas, departamental o de entidades vinculadas, dependientes o adscritas) parece razonable (según el espíritu del RGPD) que se incline por la implantación de delegados de protección de datos en cada ámbito previamente definido (algunas áreas o departamentos especialmente sensibles deberán disponer probablemente de varios delegados). Cabe preguntarse asimismo si el DPD podría tener personal a su servicio, tanto auxiliar como técnico. La respuesta debe ser afirmativa. El DPD es un nivel orgánico ad hoc, pero también un puesto de trabajo singular.

Las decisiones organizativas que ya vienen predeterminas por el RGPD, aparte de la anteriormente señalada, son las siguientes:

  • El DPD, si está internalizado, forma parte de “la plantilla” del responsable o del encargado del tratamiento (hay que entender, por tanto, de la organización o estructura de la Administración Pública o entidad del sector público correspondiente). La opción alternativa, como se ha visto, es externalizar a través de un contrato de servicios; pero habría que dejar muy claro en los pliegos el carácter y naturaleza de tales servicios, el estatuto singular, así como sus dimensiones y funciones.
  • La figura del DPD se caracteriza, tal como se ha visto, por su peculiar estatuto, cuya nota dominante es la independencia funcional. Por tanto, esa unidad orgánica o ese puesto de trabajo no puede estar incorporado en la línea jerárquica de ninguna estructura: debe crearse una estructura organizativa ad hoc, singularizada por su no dependencia orgánica ni funcional, pero adscrita desde el punto de vista presupuestario a un departamento o área de actuación. La AEPD considera que debe adscribirse a órganos o unidades de naturaleza “horizontal”, pero eso no es lo determinante (cuestión formal), sino que el aspecto crucial es que el diseño organizativo por el que se adopte salvaguarde plenamente la independencia en su funcionamiento (cuestión material).
  • En cualquier caso, el DPD no es una pieza aislada del modelo organizativo, sino que se debe incardinar en el modelo de seguridad de la información de cada entidad pública y formar parte de los órganos que se creen con esa finalidad (con las singularidades que presenta; esto es, como “asesor”, pero no como miembro de pleno derecho). Su inserción en el sistema de seguridad se ha hecho, por ejemplo, la Orden JUS/1293/2107, de 14 de diciembre, sobre política de seguridad de la información en el ámbito de la Administración electrónica (BOE 28 diciembre 2017), o se está trabajando en esa línea en el Ayuntamiento de Sant Feliú de Llobregat, articulando el ENS con la protección de datos en todo lo que afecta a análisis de riesgos, incorporando esa figura a la Comisión de Seguridad de la citada entidad.
  • Lo habitual es que en un determinado ámbito de actuación (departamentos, áreas ejecutivas o entidades del sector público, salvo que estas se agrupen) haya un DPD para cada una de ellas, pero la complejidad de determinados departamentos puede aconsejar que haya varios delegados según esferas de actuación (pensemos en ministerios o departamentos tales como Interior, Educación, Sanidad, etc.).
  • Dado el perfil de exigencias funcionales que se le atribuyen al DPD, así como las relativas a conocimiento y experiencia que debe acreditar para su nombramiento, este tipo de puestos de trabajo se deberán proveer entre funcionarios públicos del subgrupo de clasificación A1 (dado que ejercerán funciones de autoridad o potestades públicas) que acrediten tales competencias en procesos de provisión de puestos de trabajo abiertos. El RGPD deja claro que deben ser “puestos de plantilla” y “empleados”, algo en lo que también insiste la Nota de la AEPD que habla expresamente de “empleados públicos”, lo que parece cerrar por completo la puerta a que se cree un nivel orgánico de “alto cargo”, dado que se trata de puestos de trabajo de estructura y no aleatorios o cambiantes en función de políticas coyunturales.
  • No obstante, dada la dimensión trifásica de sus funciones, esto es, como (a) punto de contacto con la autoridad de control, (b) soporte y asesoramiento a la Administración pública en estos temas, y (c) instancia de resolución con carácter previo reclamaciones de los interesados sobre protección de datos (artículo 37.2 PLOPD); este puesto de trabajo tiene que configurarse como una suerte de “autoridad unipersonal independiente” que actúa en el seno de las estructuras administrativas, pero con una configuración dual (interna/externa) y de interlocución, lo que obliga a diseñar un modelo organizativo distinto y distante al tradicional. No encaja en las pautas ordinarias de la creación de puestos de trabajo en la función pública.
  • Es cierto que el RGPD admite que el DPD “pueda desempeñar otras funciones y cometidos”, por lo que cabría configurar una suerte de puestos de trabajo o estructuras funcionales mixtas, pero no es muy recomendable. No solo por los hipotéticos conflictos de intereses que se puedan producir, sino también por la esquizofrenia en el desarrollo de las tareas que ello comporta. Tal vez esta figura del DPD con dedicación parcial pueda ser una opción a barajar en las estructuras de gobiernos locales de pequeño o mediano tamaño o, en su defecto, en áreas de actuación pública con riesgos limitados en esta materia. En estos casos, según las Directrices citadas, debe reservarse un porcentaje de tiempo para las tareas de DPD.
  • La denominación del órgano “ad hoc” (y del puesto de trabajo) debería ser Delegado/a de Protección de Datos. Debe dotársele de un estatuto retributivo, al menos, similar al de una Subdirección General o Jefatura de Servicio, donde aquella no exista. Incorporarlo como “alto cargo” falsearía la finalidad y espíritu del RGPD, pues el nombramiento sería discrecional (no así el cese) y no se podrían acreditar las exigencias profesionales y de experiencia que el perfil del puesto requiere.

Final: ¿Cómo cubrir estos singulares puestos de trabajo? Los nuevos retos.

Si no se configura como alto cargo por las razones expuestas, cabe plantearse cuáles serían las soluciones institucionales que se pueden barajar en torno a la provisión del puesto de trabajo del Delegado de protección de datos. Y aquí surgen los problemas, pues se plantean dos tipos de tensiones: a) profesionalidad/discrecionalidad; y b) temporalidad/permanencia (o estabilidad). Veamos sucintamente ambas tensiones y sus consecuencias.

La primera tensión (profesionalidad/discrecionalidad) debería resolverse a favor del primer principio, puesto que una “designación discrecional” no cumpliría las exigencias mínimas establecidas por el RGPD. El procedimiento de libre designación, en su formulación tradicional, no encajaría en el espíritu ni finalidad del Reglamento, a pesar de que en este (y en el propio PLOPD se utilice la expresión “designación”: hay que tener en cuenta que se aplica también al sector privado). La única forma de paliar esta limitación estribaría en establecer previamente a la entrada en acción del procedimiento de libre designación (o de libre nombramiento) algún sistema de acreditación de competencias (incluida, en su caso, la certificación) que garantice los conocimientos, experiencia y capacidades necesarios para desarrollar esas funciones. Lo normal es que el sistema de provisión de estos puestos de trabajo recoja esas exigencias de profesionalidad y elimine o acote al máximo la discrecionalidad. La AEPD sugiere, en buena lógica y ante la carencia de perfiles especializados, “desarrollar de forma inmediata una labor de formación de posibles candidatos a ocupar por primera vez los puestos de DPD en todos los niveles de las AAPP”. Asimismo, también propone “establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD”. Son dos medidas sensatas, pero que se deben completar con una visión más amplia: las administraciones públicas deben invertir muchísimos recursos y tiempo en construir nuevos perfiles de puestos de trabajo relacionados con la digitalización y las TIC, así como formar intensivamente a sus empleados públicos en esta línea. La robotización y la inteligencia artificial harán desaparecer muchos puestos de trabajo del sector público (o dejarlos sin funciones), pero asimismo se demandarán otros muchos puestos de perfiles completamente distintos o nuevos y, por lo común, muy tecnificados (vinculados a la gestión de información y datos). La provisión del DPD puede ser un buen banco de pruebas. No estaría mal comenzar por ello y explorar construcción de nuevos perfiles, así como herramientas formativas.

La segunda tensión se suscita en torno a si la cobertura de tales puestos de trabajo debe ser temporal o permanente. Parece claro que son puestos de naturaleza estructural, por tanto la primera impresión sería que cabría defender su estabilidad y permanencia. Pero una cosa es que el puesto tenga ese carácter y otra bien distinta es que la persona (funcionario) que sea nombrado o designado para tales funciones deba serlo con carácter definitivo. Al ser puestos de nueva creación y sin recorrido previo en las administraciones públicas, esa puede ser una opción no exenta de riesgos. Tampoco estaría mal construir un sistema que permitiera una cierta rotación. Pero estas son decisiones organizativas. Si se va a un modelo de puestos de trabajo permanentes o estructurales rígidos, la solución sería acudir a la provisión de tales puestos por el procedimiento de concurso específico, mucho mejor que el mero y simple concurso de méritos. Si se opta por puestos de trabajo estructurales, pero con una temporalidad marcada, la opción más cabal es aplicar a la cobertura de puestos de trabajo una serie de exigencias que se derivan del estatuto jurídico de la figura del DPD según se puede derivar del RGPD: convocatoria pública, libre concurrencia, acreditación de los conocimientos, experiencia y capacidad para el desarrollo del puesto de trabajo, prever una temporalidad en su desempeño con posibilidades de volver a concursar en las sucesivas convocatorias, pero asimismo no incluir este tipo de puesto de trabajo en las relaciones de puestos de trabajo o, si se hiciera, dejarlos extramuros, dada su especial singularidad, de la negociación sindical. Para ello cabría aplicar un estatuto jurídico similar a la figura de la dirección pública profesional, pero en este caso la rendición de cuentas (evaluación) se debería vehicular, tal como expone el Reglamento, al más alto nivel jerárquico del responsable o encargado del tratamiento.

En todo caso, parece prudente que ante los obvios vacíos de regulación que ofrece el Reglamento UE 2016/679, así como frente a las anomias (auténticas “calvas”) que en esta materia tiene el PLOPD, al tratarse de una potestad de autoorganización, sea la administración pública correspondiente o el nivel de gobierno competente la instancia adecuada para elaborar alguna disposición normativa de naturaleza reglamentaria (o, en su defecto, un acuerdo de gobierno o plenario) que desbroce muchas de las incógnitas que todavía quedan a cuatro meses vista de la aplicación plena de la normativa europea. Reformar los sistemas de provisión de puestos de trabajo requiere una Ley, pero adaptar esos sistemas a las enormes singularidades que ofrece esta figura del Delegado de Protección de Datos (preludio tal vez de otras muchas que, en el campo de la digitalización y Big Data se puedan dar, también en el sector público) requiere sin duda dosis de ingenio, propuestas creativas e innovadoras y una línea de trabajo sostenida que haga avanzar a la administración pública por el camino de la profesionalización, la tecnificación y la apertura a la sociedad, en consonancia con el Gobierno Abierto y la Gobernanza Pública, ámbitos en los que también debe encajarse este nuevo e inmediato reto.