E l Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.
Entre los supuestos en que habrá de designarse un DPD se encuentra el de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD).
Aunque el RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD debería, en la protección de datos en un organismo público, haberse producido con antelación a esa fecha.
¿Qué posición ocupa y qué funciones conlleva el DPD en el organismo público?
El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD.
Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en la protección de datos en los organismos públicos.
También prevé el RGPD que la actividad que el DPD podrá desarrollar sea a tiempo completo o a tiempo parcial y también que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios; en un organismo público, así como en la empresa privada.
El DPD en un organismo público actúa como asesor y supervisor interno y el RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD.
Esta opción puede ser la mejor, utilizándose en aquellos casos, como podría ser el de municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas, todo ello valga como ejemplo.
Según el RGPD, la posición del DPD en la protección de datos del organismo público debe conllevar:
– La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales
– Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones.
– No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones.
– Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD en el organismo público, debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD.
De las funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión y, entre otras, las siguientes áreas en el organismo público: