Noticias JurídicasOrigen http://noticias.juridicas.com

#YoCumploRGPD
26/04/2018 11:40:11 | Ignacio Rojo Fernández-Matinot | DPO

El Delegado de Protección de Datos

Ignacio Rojo Fernández-Matinot

Secretario del Ayuntamiento de Nuevo Baztán (Madrid)

Introducción

La inminente plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD) que se producirá inexorablemente el 25 de mayo de 2018 supone un SOS para todos los ayuntamientos.

Por el art. 288 del Tratado de Funcionamiento de la Unión Europea, a diferencia de lo que sucedía con la Directiva 95/46 de Protección de Datos que debía ser transpuesta a través de leyes nacionales, la técnica legislativa del Reglamento utilizada por la UE supone que el RGPD será de aplicación directa en todos los Estados Miembros.

Es una sirena que suena insistente y que obliga a todos los ayuntamientos, a todas las administraciones públicas y a todo el tejido empresarial que maneje datos personales a ponerse en marcha inmediatamente.

La paralización de toda su actividad puede resultar inevitable ante la alternativa de no seguir gestionando o recibir sanciones económicas insoportables para su propia supervivencia.

Antecedentes

El Delegado de Protección de Datos nace en Alemania en 1977 (Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG, de 27 de enero de 1977) e influye decisivamente en la inclusión de la figura en la Directiva de 1995.

En España, la Constitución de 1978 prevé en su art. 18.4 que el legislador limitará el uso de la informática para proteger los derechos fundamentales de los ciudadanos.

La Sentencia del Tribunal Constitucional 292/2000 considera el derecho a la protección de datos un verdadero derecho fundamental, autónomo y claramente diferenciado de los demás que se garantizan en el mismo artículo 18 de la Constitución.

El Convenio 108 del Consejo de Europa, de 1981, prevé la existencia de una autoridad independiente que vele por este derecho el primer texto internacional sobre la materia.

Se perfecciona por la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos cuyo considerando 62 proclama que la existencia de una autoridad de control es un elemento esencial para el tratamiento de los datos personales en tanto que el 28 impone la total independencia de sus funciones

La Agencia Española de Protección de Datos (AEPD) se creó en 1992 y comenzó a funcionar en 1994.

En 1999 se aprueba la actual Ley Orgánica de Protección de Datos.

El 2016 fue el año decisivo pues en él se aprobaron las actuales normas de Protección de Datos.

La Directiva de 1995 habla en su considerando 49 del Delegado con la denominación de «encargado de la protección de datos personales» usando una terminología que puede llevar a confusión con el encargado del tratamiento, problema que se agudiza aún más con los ya habituales de traducción y equiparación de términos entre los de los estados miembros y la Unión Europea.

El Delegado no se traspone a la Ley de 1999. Es ahora cuando nace en España, cargado de enigmas.

Normativa aplicable

El Reglamento Europeo es de aplicación directa en nuestro país. Prevalece sobre la ley actual y también lo hará sobre la nueva y, por tanto, cuando se apruebe el texto definitivo, si hay algo de la nueva Ley Orgánica que contradiga lo dispuesto por el Reglamento Europeo, será éste el que prevalezca.

En la jerarquía de normas europea el reglamento ocupa la cima. Está por encima de la Directiva que exige trasposición y, por supuesto, por encima de la ley de los estados miembros.

La normativa aplicable es la siguiente:

  1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos ).
  2. La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
  3. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  4. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  5. La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas no es directamente aplicable sino a través de las legislaciones nacionales pero el Tribunal de Justicia de la Unión Europea si la aplica en sus veredictos.

Eso quiere decir que el Reglamento que ya está en puertas ataca la línea de flotación de la ley 99. Pero no solo eso, también el proyecto de ley, nacerá tocado. Deberá respetar lo que dice el reglamento europeo o será impugnado y anulado. Volveremos a ello.

El Delegado de Protección de Datos

El Reglamento crea la figura inédita del Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, otorgándole carácter obligatorio.

Sobre la misma, el considerando 97 dice que al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente

El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El Delegado será designado por los denominados responsables y encargados de tratamiento. Otra figura novedosa en la cultura local. Deberá ser designado antes de la de la fecha de la aplicación plena del Reglamento.

Entre los supuestos en que habrá de designarse un DPD se encuentra el de que «el tratamiento lo lleve a cabo una autoridad u organismo público», tanto en calidad de responsable como en funciones de encargado de tratamiento [art. 37.1.a) RGPD].

Designación

Viene regulada en el art. 37 RGPD.

Deberá ser designado por el encargado o responsable, atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

Esto nos lleva a saber concretar esas dos figuras. Ambas vienen definidas en el Reglamento Europeo.

El responsable es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los estados miembros.

En el caso de los Ayuntamientos, el responsable es el propio ayuntamiento. Determina los fines del tratamiento. Los fines del tratamiento de los datos personales que figuran en el Padrón Fiscal de un Impuesto son solo y exclusivamente la gestión del impuesto.

También determina los medios. Esos medios pueden ser personales, materiales y técnicos.

El encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. En el caso anterior puede ser la Concejalía de Hacienda, la empresa que emite los recibos, la que notifica y todas aquellas personas físicas o jurídicas que utilizan los datos personales que deben ser tratados.

También lo es el gestor contratado para la elaboración de las nóminas.

Quien designa al delegado, teniendo en cuenta que esa designación debe recaer en una persona muy cualificada responde ineludiblemente en la posibilidad de culpa in eligendo y la culpa in vigilando.

El Delegado de Protección de Datos ejerce una función similar a los habilitados pero restringido a una materia concreta: el tratamiento de los datos personales de las personas físicas.

El Delegado de Protección de Datos ejerce una función similar a los habilitados pero restringido a una materia concreta: el tratamiento de los datos personales de las personas físicas. Y sería muy útil observar las similitudes y diferencias entre ambos.

Es necesario documentar su designación salvo en los casos en los que su existencia sea obligatoria. En las administraciones públicas siempre lo es.

No cabe la designación parcial para algunos tratamientos. Tan solo en el caso de que la designación no sea obligatoria y el responsable de los datos decida la designación para uno o varios tratamientos.

Así lo recomienda en una de sus directrices el Grupo de Trabajo del art. 29.

Esa designación está protegida por una salvaguarda que abarca una serie de garantías:

1. Blindaje

No podrá ser destituido por el responsable por el ejercicio de sus funciones (art. 38.3 RGPD ).

El encargado del tratamiento deberá tener su propio delegado para aquellos tratamientos de los que sea responsable. Ello puede dar lugar a que los mismos datos tengan dos delegados, lo que puede generar un conflicto de estrategias y opiniones.

Este tema debe ser resuelto al perfilar la relación encargado-responsable exigiendo éste a aquél una garantía que por otra parte resulta obvia: que tenga su propio delegado para el tratamiento de los datos que le va a confiar.

2. Autonomía

El art. 38.3 RGPD dice que «El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado».

3. Independencia

El considerando 97 dice que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

4. Disponibilidad

A ese efecto, los datos de contacto de los delegados de protección de datos deben figurar en:

La información que obligatoriamente debe darse al interesado del que se obtengan datos personales [art. 13.1.b)].

La consulta previa a la autoridad del art. 36.3.d) del Reglamento.

La información que obligatoriamente debe darse al interesado del que no se obtengan datos personales [art. 14.1.b)].

El registro de las actividades de tratamiento efectuadas bajo su responsabilidad de cada responsable [art. 30.1.a)].

El registro de las categorías de actividades de tratamiento efectuadas bajo su responsabilidad de cada responsable [art. 30.2.a)].

En caso de violación de la seguridad de los datos personales deberá comunicar a la autoridad de control (en el caso de España la Agencia Española de Protección de Datos o similar autonómica) y al responsable el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información [arts. 33.1 y 33.3.b)].

Integración

El delegado de protección de datos debe gozar de independencia con respecto al responsable. El considerando 97 dice que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

El delegado de protección de datos debe gozar de independencia con respecto al responsable

Se puede integrar de forma interna o externa.

En el primer caso será un empleado por cuenta ajena, contratado por medio de una relación laboral o funcionarial.

Hay que tener en cuenta que en este caso, la existencia del DPD no podrá generar mayores gastos que los que tendría para el responsable.

A esos efectos, la disposición adicional undécima del Proyecto de Ley Orgánica de protección de datos de carácter personal, dice que «La designación por los órganos y entidades que conforman el sector público estatal de un delegado de protección de datos, el establecimiento de los registros de actividades de tratamiento a los que se refiere el artículo 31 de esta ley orgánica, así como la habilitación a la que se refiere el artículo 51.2 de esta ley orgánica no podrán suponer incremento de dotaciones, ni de retribuciones, ni de otros gastos de personal».

Supone esta disposición la cuadratura del círculo. Porque mayores dotaciones son inevitables para externalizar y mayores retribuciones son imprescindibles para exigir al personal en nómina.

Esa situación insostenible no puede menos que ser rectificada. Lo puede ser en sede parlamentaria, apelemos a la sensatez de muestra clase política, tantas veces cuestionada.

Pero de no ser así, los hechos obligarán a interpretar y afinar con acierto tal concepto jurídico indeterminado que nace.

Volvemos la vista atrás con lo que se ha dicho al hablar de la normativa aplicable en este mismo trabajo. El Reglamento gozará de más jerarquía que la ley proyectada.

Entre otras se plantean cuatro preguntas:

1.- ¿Son mayores gastos con referencia a lo que supondría la contratación externa?

Parece ser que no. El texto de la disposición parece tajante al excluir mayores dotaciones. Tan solo será posible en el caso que sean entes supramunicipales los que presten el servicio. Y lo hagan gratis, teniendo ellos el problema de la dotación presupuestaria. Impensable que lo haga una ONG o se financie por medio del Crowfunding. Incluso en este caso también se generarían mayores gastos aunque financiados.

2.- ¿Están excluidos del incremento de masa salarial y de la tasa de reposición de efectivos?

Si partimos de la base de que la disposición undécima del proyecto de ley nunca entre en vigor, podemos contestar a esta pregunta afirmativamente. En el caso contrario, ni siquiera cabe la pregunta.

Y podemos hacerlo utilizando la propia normativa de los empleados públicos a través de las distintas formas de acceso a la administración: funcionarial, eventual o laboral.

En cuanto al eventual, parece perfectamente legal si nos atenemos a la definición del 12,1 del Estatuto Básico del Empleado Público, que responde al que «en virtud de nombramiento y con carácter no permanente, sólo realiza funciones expresamente calificadas como de confianza o asesoramiento especial, siendo retribuido con cargo a los créditos presupuestarios consignados para este fin».

Sin embargo, la garantía de independencia de los delegados en el ejercicio de sus funciones parece aconsejar decantarse por la relación funcionarial.

Si hablamos de la creación de un nuevo puesto de trabajo a través de la Relación de Puestos de Trabajo, no computaría para el incremento de la masa salarial ni para la tasa de reposición de efectivos.

3.- ¿Deben ser retribuidos a través del Complemento Específico, incluyéndolos previamente en la Relación de Puestos de Trabajo?

En la hipótesis del fracaso de la disposición undécima a la que me acabo de referir, la respuesta debe ser sí, tanto en el caso de que se creara un puesto de trabajo nuevo como si se cargara a uno ya existente.

El puesto de trabajo debería ser de funcionario pues la garantía de independencia debe ser absoluta.

No es de recibo soportar la inmensa carga de ser el que tiene que controlar el sorteo de actuaciones que puedan suponer sanciones de hasta el 4 % de la producción, poner en peligro años y años de reputación, a cambio de una palmadita en la espalda.

Tiene que haber recursos. Si no, ya veremos qué pasa.

4.- ¿Cómo garantizar la independencia?

En el considerando segundo se dice que el «encargado de la protección de datos» deberá ejercer su cargo con «Total Independencia» (Considerando 49). La palabra total ha desaparecido en el Reglamento.

Reportar como dice el Considerando de la Directiva no quiere decir estar fuera de la organización. Puedes estar dentro pero con «total independencia».

En caso de externalización, las cuestiones son otras:

¿Es posible el control sin estar al pie de la información?

Creo que no. La supervisión, asesoramiento e información exigen un conocimiento vía observación directa de las prácticas de la administración o empresa y no en la información suministrada por los sujetos pasivos de esa actividad.

En todo caso, en la propia Comisión Europea hay un documento que analiza el impacto que el Delegado tendrá que te sugiere lo que va a cobrar un delegado. Igual que un contable para las pequeñas empresas y unos 80.000 euros anuales para las grandes empresas y en las que existen grandes implicaciones. No entiendo que la línea roja 250 empleados sea la que distinga las dos categorías de empresas, sino el número de tratamientos, la complejidad de los mismos y el riesgo que implique el ejercicio de las funciones según la naturaleza de los datos.

Como tercera alternativa, el reglamento permite también que el delegado sea compartido según la estructura y tamaño de la administración.

Por último, también se está planteando considerar la Protección de Datos como un servicio, pero no parece que sea admisible ni compatible con la relevancia que se pretende dar a la privacidad de los datos personales a través de las sucesivas normas comunitarias.

Funciones

Las Normas corporativas vinculantes deberán ser aprobadas por la autoridad de control cuando se cumplan los requisitos previstos en el art. 47.1 RGPD.

Esas normas deben incluir las funciones del delegado [art. 47.2.h) del Reglamento].

Genéricamente son las siguientes:

1.- Informar y asesorar

Al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

El art. 35 RGPD , en relación con el art. 39.1, determina que, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Para ello recabará el asesoramiento del delegado de protección de datos.

Si no estuviera de acuerdo con el asesoramiento recibido, el responsable debería justificarlo por escrito como forma de justificarse ante la autoridad de control en caso de que aparezca.

2.- Supervisar

El cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales [art. 39.1.b) RGPD ].

El considerando 97 dice que «al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales».

Supervisar la aplicación de la evaluación de impacto relativa a la protección de datos de conformidad con el art. 35 RGPD [39.1.c)].

3.- Cooperar

El art. 39.1.d) y e) del Reglamento imponen cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Es significativo que en el caso de violaciones de seguridad, el art. 33.3.b) permita que se notifique a la autoridad de control otro punto de contacto, lo que parece evitar al delegado en este caso y no contar con él en el caso de violaciones de seguridad.

En concreto, las funciones vienen enumeradas con carácter de mínimas en el art. 39 cuyo apartado 2 da un amplio margen para la ampliación al decir que ejercerá «sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento».

Por último, la Agencia de Protección de Datos ha publicado un documento en el que distingue entre funciones clave, que son las recogidas en el Reglamento y las tareas del Delegado de Protección de datos. Ese documento estaba dirigido fundamentalmente a las administraciones públicas aunque se ha extendido al sector privado.

Conclusiones

1.- La plena aplicación del Reglamento Europeo va a suponer una revolución para los entes locales de proporciones imprevisibles.

2.- La carga de trabajo se va a duplicar pues va a afectar a todos los procedimientos en los que se traten datos personales, que son prácticamente todos.

3.- Los entes locales van a tener que afrontar duras responsabilidades. Aun cuando no quepan sanciones pecuniarias, el art. 83.9 RGPD permite que «Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias».

4.- La implantación de las medidas que exige el Reglamento Europeo van exigir un fuerte desembolso diga lo que diga la nueva ley.

Para saber más...

Wolters Kluwer pone a su disposición el más completo conjunto de herramientas, cursos de formación y materiales de trabajo para facilitarle el cumplimiento del RGPD.

• Complylaw Privacidad 

Aplicación práctica y adaptación de la protección de datos en el ámbito local 

Programa Ejecutivo Data Protection Officer (DPO) 

El nuevo marco regulatorio derivado del Reglamento europeo de protección de datos 

Aplicación práctica de la protección de datos en las relaciones laborales 

Reglamento Europeo de Protección de Datos 


Te recomendamos

Actividad en Facebook