DPD. Protección de Datos en un organismo público

E l Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.

Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).

Aunque el RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD debería, en la protección de datos en un organismo público, haberse producido con antelación a esa fecha.

¿Qué posición ocupa y qué funciones conlleva el DPD en el organismo público?

El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD.

Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en la protección de datos en los organismos públicos.

También prevé el RGPD que la actividad que el DPD podrá desarrollar sea a tiempo completo o a tiempo parcial y también que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios; en un organismo público, así como en la empresa privada.

El DPD en un organismo público actúa como asesor y supervisor interno y el RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD.

Esta opción puede ser la mejor, utilizándose en aquellos casos, como podría ser el de municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas, todo ello valga como ejemplo.

Según el RGPD, la posición del DPD en la protección de datos del organismo público debe conllevar:

– La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales

– Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.

– No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.

– Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD en el organismo público, debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.

De las funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión y, entre otras, las siguientes áreas en el organismo público:

– Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.

– Identificación de las bases jurídicas de los tratamientos.

– Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.

– Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.

– Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.

– Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.

– Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.

– Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.

– Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.

– Diseño e implantación de políticas de protección de datos.

– Auditoría de protección de datos.

– Establecimiento y gestión de los registros de actividades de tratamiento.

– Análisis de riesgo de los tratamientos realizados.

– Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.

– Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.

– Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.

– Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.

– Realización de evaluaciones de impacto sobre la protección de datos.

– Relaciones con las autoridades de supervisión.

– Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

CONSEJO: Informar y asesorar al responsable o al encargado del tratamiento y al personal que se ocupen y observen las obligaciones que les incumben en virtud del RGPD

RGPD señala algunas funciones del DPD

– Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

– Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.