El Delegado de Protección de Datos en las Administraciones públicas: Ombudsman de los datos personales

Acaba de comenzar a aplicarse el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, larga denominación que el propio título de la disposición abrevia con la locución “Reglamento general de protección de datos” (en lo sucesivo, RGPD). Irrumpe en un momento en el que cada vez son más frecuentes las alarmas por actuaciones fraudulentas o malintencionadas en el tratamiento de los datos personales […]

Eduardo Gamero Casado es Catedrático de Derecho Administrativo en la Universidad Pablo de Olavide y Consejero de Montero-Aramburu Abogados

I.- INTRODUCCIÓN: El NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (1)

Acaba de comenzar a aplicarse el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, larga denominación que el propio título de la disposición abrevia con la locución “Reglamento general de protección de datos” (en lo sucesivo, RGPD). Irrumpe en un momento en el que cada vez son más frecuentes las alarmas por actuaciones fraudulentas o malintencionadas en el tratamiento de los datos personales: no sólo fugas y robos de datos de cientos de miles de usuarios en determinadas plataformas y redes sociales, sino también, la cada vez más extendida práctica de elaborar y procesar perfiles de los usuarios, que se prestan a los más diversos fines (opacos para los afectados), desde la personalización de los servicios que se les ofrecen, hasta la manipulación de sus opiniones y preferencias a través de filtros y otras técnicas que se aplican a su uso de los medios electrónicos, no sólo ofreciéndoles una imagen distorsionada de la realidad, sino además influyendo ¿ilícitamente? en sus inclinaciones.

El RGPD se aprobó en 2016, pero muchos de sus postulados se han revelado premonitorios. No es una mera adaptación de la normativa anterior, sino que representa un verdadero cambio de paradigma, en el que la protección de los datos personales -de las personas físicas- se concibe como una preocupación estratégica de cualquier sujeto que proceda a su tratamiento. No sólo se establecen mayores limitaciones y garantías en el tratamiento de los datos, sino que además se confiere carta de naturaleza al principio de responsabilidad proactiva (Considerando 74 y art.5.2 RGPD), en cuya virtud, el responsable del tratamiento está obligado a aplicar medidas oportunas y eficaces tanto para garantizar las previsiones del RGPD en el tratamiento de los datos, como para afrontar cualquier incumplimiento o violación que eventualmente se presente. Se trata de un deber de diligencia que rebasa el puro formalismo y atiende a las actuaciones materialmente emprendidas por el responsable en cumplimiento de sus deberes legales. En virtud del mismo principio, el responsable del tratamiento ha de poder demostrar la conformidad de las actividades de tratamiento con el RGPD, incluida la eficacia de las medidas que adopte, lo cual exige la utilización de técnicas o herramientas que permitan acreditar en su momento las medidas adoptadas.

Los deberes del responsable del tratamiento (inclusive la aludida proactividad) se describen por el RGPD de manera genérica y conforman obligaciones de resultado, en las que a su vez es relevante acreditar los medios que se han dispuesto para lograrlo. Es una técnica legislativa extraña a nuestra tradición jurídica, amiga de mandatos concretos predefinidos con supuestos de hecho bien delimitados a los que se asocia una concreta consecuencia jurídica. Esto suscita un cierto grado de indeterminación de lo que está bien y lo que está mal, que además sólo puede interpretarse en atención al caso concreto: en función de la naturaleza y volumen de los datos tratados, y de las medidas que correlativamente se articulen para cumplimiento del RGPD(2). Esta manera de regular introduce una cierta inseguridad jurídica, que sólo irá despejándose en la medida que se atesoren precedentes y se vaya acumulando un cuerpo de doctrina por parte de los operadores del ramo, entre quienes descuella la Agencia Española de Protección de Datos. Y esta inseguridad jurídica está generando una gran ansiedad, acrecentada por las elevadas sumas a las que pueden ascender las sanciones económicas previstas frente a los incumplimientos: hasta 20 millones de euros, o el 4% del volumen de negocio total anual global(3).

En orden a velar por el adecuado cumplimiento del régimen de protección de datos en una organización adquiere particular importancia una figura de nueva creación, el Delegado de Protección de Datos (arts.37 ss. RGPD), cuya existencia es obligatoria para las autoridades y organismos públicos. Es una figura de nueva creación en la legislación de la Unión Europea. Con anterioridad existía en otros países, como Alemania, pionera en la implantación de este perfil(4) (Datenschutzbeauftragter), al igual que otros sistemas legales que lo contemplaron en el marco de su potestad legislativa nacional de desarrollo, acuñándose convencionalmente la denominación de Data Proteccion Officer (DPO) en el contexto internacional. El RGPD, atento a la utilidad que ha demostrado en los países donde existe, procede a su implantación generalizada, lo que dará lugar a una demanda de 28.000 profesionales ejercientes de esta labor en la Unión Europea(5). El papel central que ocupa el Delegado de Protección de Datos en el RGPD, y la elevada cifra de profesionales que desempeñarán esta función en el futuro inmediato, son motivos suficientes para dedicarle atención, acrecentada en el entorno de las Administraciones públicas por el carácter obligatorio que para ellas tiene esta figura.

Para estudiar esta figura analizamos los arts.37 ss. RGPD, en los que aparece dibujada con bastante amplitud (en comparación con otras materias), y los arts.34 ss. de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en lo sucesivo, LOPD) que actualmente se tramita en las Cortes Generales(6): esta disposición se abstiene de reiterar los contenidos que de suyo derivan del RGPD, ampliando la regulación del DPD en ciertos aspectos que no han quedado, a mi juicio, acertadamente resueltos.

II. ¿QUÉ ES EL DELEGADO DE PROTECCIÓN DE DATOS (DPD)?

2.1.- Concepto.

Ni en el RGPD ni en la escasa literatura disponible en este momento acerca del Delegado de Protección de Datos (DPD) se consigna una definición precisa de la figura. A efectos meramente liminares, y tomando algunos elementos del Considerando 97 RGPD, se puede definir al DPS como una persona con conocimientos técnicos especializados del Derecho y de la práctica de protección de datos, que asesora al responsable y, en su caso, al encargado del tratamiento, y supervisa el cumplimiento del RGPD en su organización, careciendo de poderes ejecutivos y ostentando una posición independiente mediante la que asesora acerca de la legislación de protección de datos y revisa las medidas adoptadas por la organización, a fin de verificar su adecuada ejecución y cumplimiento(7). A decir de Jiménez Asensio(8), “es un colaborador necesario, aunque también supervisor, del responsable o del encargado del tratamiento”. Tiene una misión tanto preventiva como reactiva: la primera es la primordial, y en su marco le corresponde examinar la organización (los tratamientos de datos que en ella se llevan a cabo) para verificar que las medidas de protección de datos implantadas son adecuadas en función de la naturaleza, el alcance, el contexto y los fines del tratamiento; la misión reactiva, que es hasta cierto punto accesoria y complementaria de la anterior, le lleva a participar en los procesos de reclamación que eventualmente se materialicen en relación con el tratamiento de datos de la organización.

Como afirma Sánchez Ors expresivamente “Quien actúe como Delegado de Protección de Datos deberá ser un solucionador de todas las situaciones relacionadas con el tratamiento de datos personales que se le planteen por la dirección, por los terceros que se relacionen con la organización y por sus compañeros”(9). En efecto, el DPD no es responsable ni encargado de tratamiento (asumir tales tareas comprometería su neutralidad), y a pesar de ello, es una figura que, en lo sucesivo, adquiere un papel central en las organizaciones que traten categorías especiales de datos personales (los conocidos hasta ahora como datos “sensibles”), o traten datos de manera masiva.

2.2.- Funciones

Las funciones del DPD vienen principalmente enunciadas en el art.39 RGPD, que le atribuye las siguientes:

a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

Es una de sus misiones principales. El RGPD pretende que los responsables y encargados de tratamiento tengan a mano a alguien a quien acudir cuando la legislación de protección de datos les suscite dudas, o cuando no sepan cómo reaccionar ante una amenaza, una reclamación o un incumplimiento. La función de asesoramiento abarca a toda la organización y no se focaliza en su cúspide: se concibe al DPD como un asesor en staff, a quien en principio pueda acudir fácilmente cualquier integrante de la organización a quien se presente una duda o problema con ocasión del tratamiento de los datos personales.

b) Supervisar el cumplimiento de lo dispuesto en el RGPD, en otras disposiciones de protección de datos de la Unión o de los Estados miembros, y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Esta es, probablemente, la función más sensible del DPD. Debido a la intrínseca indeterminación de los mandatos que supone la legislación de protección de datos, y a la correlativa necesidad de ajustar las medidas y políticas de cada organización en función de la naturaleza, el volumen, el alcance, el contexto y los fines del tratamiento, es primordial contar con alguien que ofrezca una opinión cualificada e independiente. La fiscalización que lleva a cabo el DPD conlleva la redacción de informes y documentos en los que valore las medidas implantadas y, en su caso, sugiera cambios o mejoras, ya sea en la asignación de responsabilidades, ya en las medidas de seguridad, en las cláusulas informativas, los registros de tratamiento, la revisión de las políticas, etc.; en suma, se erige en una especie de superintendente (si bien carece de poderes ejecutivos, como después hemos de ver) para la fiscalización de todo lo concerniente a la protección de datos en la entidad.

El art.36.4 LOPD enfatiza este papel de control asignado al DPD, imponiéndole un deber que no aparece expresamente previsto en el RGPD: cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.

No menos significativo es el papel que desempeña el DPD en la adecuada satisfacción del principio de responsabilidad proactiva al que asimismo hemos aludido ya: en la medida que la preocupación por la protección de datos ha de ser una constante en la organización, el papel del DPD es relevante de cara a articular el seguimiento y revisión constante del sistema, pues al asignarse esta función a una persona concreta, se incrementa exponencialmente su garantía de cumplimiento(10).

Importa notar, por último, que el RGPD alude en este punto también a la concienciación y a la formación como piezas necesarias en la implementación de la nueva concepción de la protección de datos subyacente en el texto.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD

La evaluación de impacto es una técnica que pretende medir el nivel de riesgo que entraña un determinado tratamiento de datos. Conforme al art.35.1 RGPD, cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto o fines (en particular, si utiliza tecnologías de la información), entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. El DPD participa en esta tarea (se alude al mismo tanto en el art.39.1, como en el art.35.2 RGPD), interviniendo como asesor cualificado de la evaluación de impacto, no sólo para orientar al responsable del tratamiento sobre cómo llevarla a cabo, sino también para verificar su adecuada realización.

d) cooperar con la autoridad de control; y e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por último, el RGPD ha visto en el DPD un interlocutor cualificado de la autoridad de control, quien puede nutrirse de su experiencia tanto para afrontar procedimientos específicos relativos a la entidad en la que presta servicios, como para suministrar opiniones o atender consultas sobre diferentes aspectos implicados en la protección de datos, enriqueciéndose así de la experiencia directa que adquieren estos profesionales en su contacto continuo con la problemática real que suscita esta materia.

Esa función se potencia en el art.36.1 LOPD(11), que expresamente le confiere el carácter de interlocutor cualificado de la organización con las autoridades de control.

f) Intervención en reclamaciones.

A las funciones anteriores, el art.37 LOPD añade una importante competencia del DPD: la de conocer o participar en los procedimientos de reclamación que inicien los afectados por incumplimientos de la normativa de protección de datos. Se regulan dos supuestos distintos.

En primer lugar (art.37.1 LOPD), cuando exista un DPD el afectado podrá dirigirse al mismo y plantearle la cuestión. El precepto es parco y no da muchas pistas acerca de lo que se pretende, pero de su redacción se colige que el DPD tramitará un expediente en el que recabe la información necesaria, indague las reacciones o medidas de reparación y cumplimiento que el asunto ha suscitado en los operadores implicados, en su caso, proponga al responsable o encargado del tratamiento otras medidas, verifique si se implantan o no, y dé al afectado una respuesta razonada en el plazo máximo de dos meses desde que recibió la reclamación. Esta previsión legal es sin duda oportuna e interesante. Permite, por una parte, que sea una figura independiente (se supone que sin conflicto de interés) quien canalice y responda a la reclamación. Por otro lado, asigna la instrucción de la reclamación a una persona que dispone de conocimientos jurídicos, y si bien el DPD no ha de ser jurista (como veremos después) parece claro que en un elevado porcentaje de los casos serán juristas quienes desempeñen esta función, lo que sin duda contribuye a una adecuada tramitación del procedimiento.

En segundo lugar (art.37.2 LOPD), cuando el afectado acuda directamente a la autoridad de control (AEPD o entidad autonómica correspondiente) sin haber hecho uso de la posibilidad anterior, la autoridad de control podrá remitir la reclamación al DPD a fin de que éste responda en el plazo de un mes. Nótese que el reenvío al DPD no es preceptivo, sino potestativo; hemos de suponer que la opción dependerá de factores diversos: la gravedad del incumplimiento imputado, los precedentes eventualmente disponibles de intervención del delegado, etc. Por otra parte, subyace en el precepto que durante ese período el DPD deberá instruir un procedimiento en el sentido análogo al expresado en el párrafo anterior.

Se trata, pues, de un intento por parte de la LOPD de articular mecanismos alternativos de resolución de conflictos, que conceden un gran protagonismo a la propia organización. La articulación de medidas adecuadas con ocasión de la intervención del DPD puede directamente acabar con el problema (en el primer supuesto), o ser valorada por la autoridad de control a la hora de decidir si sanciona o no, y con qué gravedad. En definitiva, la intervención del DPD y la respuesta de la organización pueden revelar un adecuado cumplimiento del principio de responsabilidad proactiva, y ser determinante en las medidas posteriormente adoptadas por la autoridad de control en relación con el incidente.

g) Revisiones y auditorías periódicas.

Por último, conviene evocar una función del DPD que no aparece expresamente proclamada en los textos normativos pero que resulta, a mi juicio, inexcusable: la de intervenir (e incluso pilotar) la revisión periódica de las medidas de protección de datos implantadas en la organización para verificar su adecuado cumplimiento, así como para valorar la aparición de novedades (nuevos tratamientos, cambios en la estructura de la entidad) que exijan una modificación de las medidas ya implantadas. El RGPD insiste en diversos lugares acerca del carácter continuo que ha de tener la evaluación y revisión de todo el sistema: tanto en lo que ya hemos apuntado respecto al principio de responsabilidad proactiva, como en los arts.24.1(12), 32.1 d)(13) y 47.2 j)(14). No se puede desconocer el papel que el DPD está llamado a desempeñar en todos esos procesos.

Con arreglo al art.39.2 RGPD, y coherentemente con el principio de responsabilidad proactiva que tiñe todo el Reglamento, el DPD desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento. Lo que sucede es que, en su caso, el nivel de riesgo será siempre alto, al menos en las organizaciones que obligatoriamente deben contar con la figura, y por tanto, su grado de diligencia habrá de ser adecuado a la dimensión de tales riesgos.

Como colofón de este apartado podemos señalar que el perfil de las competencias que asume el DPD evoca en cierto sentido a una Ombudsperson, en la medida que vela por el respeto de un derecho fundamental (en este caso, a la protección de datos personales), a cuyo efecto revisa la actuación del conjunto de la organización (esta función, con más intensidad incluso que el Ombuds), y conoce y tramita las reclamaciones que les dirijan los afectados (esto último, en razón de la LOPD). Naturalmente, existen grandes diferencias entre el DPD y una Ombudsperson, pero no pueden dejar de señalarse los rasgos que aproximan ambas figuras. Cuando conozcamos su configuración orgánica (independencia, ausencia de poderes ejecutivos) tales similitudes resultarán aún más reforzadas.

III. CONFIGURACIÓN ORGANIZATIVA

3.1.- ¿Cuándo es obligatorio? El caso de las empresas públicas

Con arreglo al art.37.1 RGPD, el DPD es obligatorio siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 RGPD y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 RGPD.

Por lo que se refiere al concreto interés que despierta el DPD para el Derecho administrativo, queda claro que ha de existir obligatoriamente en las Administraciones públicas. Siempre que en la conformación de sus rasgos estructurales internos la organización respete la posición de independencia que se predica del DPD (y que analizaremos seguidamente), la obligatoriedad de su existencia puede equilibrar hasta cierto punto la inaplicación de sanciones a las entidades del sector público.

La primera cuestión que inevitablemente suscita esta obligatoriedad es delimitar el perímetro de los “organismos públicos” en los que es preceptivo el DPD. En ausencia de toda precisión en la LOPD, es inevitable casar esta determinación del art.37.1 RGPD con el art.2 de la Ley 40/2015, de 1 de octubre, de Régimen jurídico del sector público (LRJSP). Y parece que ese perímetro debe establecerse en el universo de sujetos que delimitan el art.2.1, letras a) a c); y la letra a) del art.2.2: esto es, las Administraciones territoriales, los organismos públicos y las entidades de Derecho público vinculadas o dependientes de las Administraciones públicas.

Las entidades de Derecho privado en mano pública no quedan abarcadas por el art.37.1 a) RGPD, pero pueden verse vinculadas por el deber de contar con un DPD i) Si se establece así en el Derecho interno(15) y ii) Si encuentran en alguno de los supuestos establecidos en las letras b) y c) del art.37.1 RGPD. En relación con estas últimas, el art.34.1 LOPD pretende mejorar la seguridad jurídica incluyendo una lista cerrada de supuestos en los que el DPD es obligatorio(16). Dos cosas cabe decir en relación con esa lista. La primera es que, cuando una entidad de Derecho privado en mano pública lleve a cabo una de estas actividades (por ejemplo, centros docentes o sanitarios que gocen de personificación privada), quedan inequívocamente obligadas a disponer de un DPD. La segunda es que la lista cerrada establecida por la LOPD no puede desplazar la aplicación material del RGPD cuando una entidad no aparezca en la relación pero realice actividades de tratamiento materialmente abarcadas por las letras b) y c) del art.37.1 RGPD; p.ej., una infraestructura pública con una cifra masiva de usuarios que se gestione mediante una forma de personificación jurídico-privada e instale cámaras de videovigilancia.

Por lo demás, en el resto de supuestos el DPD es voluntario. Para el sector privado y para los entidades de Derecho privado en mano pública la dotación voluntaria de un DPD no sólo puede contribuir a la adecuada satisfacción de las exigencias legales en materia de protección de datos, sino que sin duda supondrá un importante elemento distintivo a efectos reputacionales: en los próximos años, el aviso de dotación de un DPD por una entidad será un elemento de prestigio y singularización de la entidad, una especie de divisa o marchamo de calidad, incrementándose la valoración positiva de la organización ante los afectados por el tratamiento. Ese componente reputacional se acrecentará progresivamente, a medida que la sociedad siga concienciándose acerca de los graves riesgos a que expone el tratamiento descontrolado de sus datos personales.

3.2.- Posición organizativa. La independencia. La externalización de la figura

El RGPD es muy preciso en la conformación de la posición organizativa que debe ocupar el DPD, dedicando a esta cuestión no sólo el art.38 en su integridad, sino también buena parte del art.37. También son interesantes las recomendaciones del GT29 sobre el DPD(17), que complementan al Derecho positivo para perfilar mejor su encuadre organizativo.

Descuella, en primer lugar, el carácter independiente de la figura; a decir del art.38.3 RGPD, “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

Esa nota de independencia evoca nuevamente a la configuración de las Ombudspersons, rasgo que se acrecienta ante el deber de confidencialidad que proclama el art.38.5 RGPD: “El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros”. Si a los ingredientes anteriores se le suma el rasgo de la exclusividad, indirectamente establecido en el art.38.6 RGPD: “El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”; esta configuración de la medida determina que el DPD no pueda llevar a cabo operaciones de tratamiento de datos, pues en tal caso incurriría en un claro conflicto de interés entre el tratamiento realizado y la fiscalización de su adecuación a Derecho. Las Directrices del GT29 sobre el DPD abundan en este tema, y además de insistir en la idea de que no pueden confluir en una misma persona las funciones de responsable, encargado de tratamiento y DPD, ofrece pautas para evitar el conflicto de interés(18).

Para evitar que el DPD acabe siendo un mero exorno, y permitir que ejerza sus funciones de manera efectiva, los apartados 1 y 2 del artículo 38 imputan al responsable y al encargado del tratamiento la responsabilidad de franquear al DPD el acceso a los datos y a las operaciones de tratamiento, respaldándole en el desempeño de sus funciones, garantizando que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, y facilitándole los recursos necesarios para el desempeño de sus funciones y la actualización de sus conocimientos.

A la vista de su configuración, la pregunta es qué posición debe ocupar el DPD en el organigrama de la organización, y en particular, plantea la disyuntiva entre a) Crear un órgano específico, o dotar un puesto específico de plantilla; y b) Asignar la función a un puesto u órgano preexistente. Cabe pensar que la función de DPD se atribuya a alguno de los órganos de control que en las Administraciones públicas, como inspectores, auditores (de calidad, procesos, cumplimiento normativo), o incluso, defensores del ciudadano (figura existente en todas las Universidades y en muchos municipios, por ejemplo). A mi juicio, no es fácil conciliar esa atribución con dos factores: 1) La particular cualificación profesional que el RGPD exige al DPD, que comentaremos en el apartado siguiente; y 2) El hecho de que, frecuentemente, tales órganos de control proceden al tratamiento de datos (por ejemplo, los inspectores de servicios), por lo que incurrirían en un conflicto de interés que les inhabilitaría para la función de DPD. Para cerrar el cuadro, cuando en la organización exista un servicio jurídico dotado de las notas de imparcialidad y rango jerárquico anteriormente expuestas, cabría que se le asignase la función de DPD. En resumen, parece idóneo que se cree esta figura con carácter independiente(19), y en el caso de que no sea así, los órganos menos problemáticos para asumirla serían los servicios jurídicos y las defensorías ciudadanas, siempre que sus integrantes dispongan de los conocimientos teóricos y prácticos a que aludiremos más tarde.

El art.37.3 RGPD permite que se designe a un único DPD para varias autoridades u organismos, teniendo en cuenta su tamaño. Y al propio tiempo, el art.37.6 RGPD admite que el DPD forme parte de la plantilla de la organización o desempeñe sus funciones en el marco de un contrato de servicios. Ambas previsiones facilitan el cumplimiento de los requisitos que rodean la configuración orgánica del DPD, pues permite distanciarlo del seno de una concreta organización para conferirle una dimensión de controlador y asesor externo, potenciando su independencia, neutralidad y confidencialidad, y previniendo de eventuales conflictos de intereses. Además, la combinación de ambas posibilidades facilita indudablemente el cumplimiento de los rasgos que deben reunir los DPDs cuando se trata de organizaciones pequeñas, en las que difícilmente la carga de trabajo justifica la creación de un puesto u órgano específico. En este sentido, la externalización de funciones parece una fórmula idónea para cumplir limpiamente las exigencias organizativas que rodean al DPD según el RGPD.

Hemos de entender, por otra parte, que la fórmula “contrato de servicios” abarca cualquier instrumento jurídico de externalización, ya sea un contrato propiamente dicho, ya se trate de un convenio de colaboración con otras entidades: así, las Diputaciones provinciales podrían contemplar la dotación de DPDs a disposición de los municipios que lo precisen, en especial cuando sean de pequeño tamaño y les resulte ineficiente (en términos presupuestarios) la dotación de un puesto de plantilla. Por otra parte, las normas comentadas permiten perfectamente que una determinada galaxia organizativa (entidad territorial matriz y sus entes instrumentales) designen un DPD común; en tal caso, no estaría de más que se le designara para tal función asimismo en relación con las entidades instrumentales con forma de personificación jurídico-privada integrantes del conglomerado.

3.3.- Rasgos del desempeño. El requisito de la certificación previa del DPD

El DPD ha de reunir una serie de cualidades: en unos casos vienen establecidas en el RGPD, y en otros obedecen a rasgos personales que determinan la idoneidad profesional para desempeñar sus funciones.

En relación con lo primero, el art. 39.5 RGPD exige que el DPD disponga de una adecuada cualificación profesional, aludiendo expresamente a la necesidad de que disponga de conocimientos especializados del Derecho y la práctica en materia de protección de datos, acreditando su capacidad para desempeñar las funciones que le corresponden. Hay, por tanto, una doble composición de conocimientos, tanto teóricos como prácticos, que hacen claramente insuficiente, por ejemplo, disponer tan sólo de un cursillo de formación en materia de protección de datos. Se trata, por tanto, de un experto, que no ha de ser necesariamente jurista, aunque se le exijan conocimientos jurídicos -y por consiguiente disponer de esa titulación es un plus para el ejercicio de esta función-, pueden ser consultores, auditores y también técnicos (informáticos, expertos en seguridad), etc.(20). Esa experiencia y desempeño además no sólo han de darse en origen (para asumir la función), sino que se trata de un continuo y obliga a una actualización constante de los conocimientos y de la pericia. Las Directrices del GT29 apuntan a que esos conocimientos prácticos han de ser relativos no sólo al régimen jurídico de la protección de datos, sino que también afecta a conocimientos sobre sistemas de información y seguridad de datos(21).

Para facilitar la acreditación del cumplimiento de estos requisitos, el art.35 LOPD permite que se demuestren mediante mecanismos voluntarios de certificación, algunos de los cuales ya están disponibles, como el Esquema de Certificación de Delegados de Protección de Datos de la AEPD(22). Esta certificación no es obligatoria, pero a medida que se consolide la figura, es previsible que la certificación previa constituya un elemento relevante a la hora de designar al DPD, pues demuestra objetivamente que la persona acreditada reúne la cualificación necesaria para el desempeño del puesto. El método de evaluación está basado tanto en la valoración del conocimiento y la experiencia, como en el desarrollo profesional continuo, y se articula mediante una certificación inicial y posteriores renovaciones. Para obtener la certificación inicial, los interesados debe acreditar previamente los requisitos de formación y experiencia profesional establecidos en el Esquema(23); y someterse a la evaluación de los conocimientos y capacidades técnicas o profesionales mediante un examen tipo test de 150 preguntas (sobre un banco de 600 coordinado por la AEPD), divididas en 3 dominios (normativa, responsabilidad activa y técnicas para garantizar el cumplimiento), y de las cuales, al menos una cuarta parte será de índole práctico (describiendo un escenario normativo, organizativo o técnico sobre el que verse la pregunta). La superación de la prueba otorga la certificación, que tiene un período de validez de 3 años. Su renovación exigirá que el interesado acredite un mínimo de 60 horas de formación recibida o impartida y al menos un año de experiencia profesional en proyectos o actividades y tareas relacionadas con las funciones del DPD. La certificación puede suspenderse e incluso retirarse, por las causas descritas en el Esquema. La AEPD ha creado una Marca específica para que el mercado pueda identificar claramente a los DPDs certificados.

Al tratarse de una figura de nueva creación en España, es previsible que en los momentos iniciales la AEPD sea más permisiva en cuanto al nivel de conocimientos y pericia de los DPDs, y que progresivamente las exigencias de cualificación se vayan incrementando a medida que crezca el colectivo de profesionales con experiencia en este campo. De otro lado, la cualificación del DPD debería ajustarse a diferentes niveles de formación y experiencia, para acomodarlo a los distintos niveles de riesgo, de manera que no se exija una altísima cualificación para ejercer de DPD en organizaciones con escaso riesgo en los tratamientos, ni tampoco baste con unos conocimientos y experiencias básicos o rudimentarios para asumir la función en una organización con tratamientos masivos de categorías especiales de datos. Cabría pensar en una categorización en grados de DPDs, tal y como existe en otros muchos ámbitos profesionales. Sin embargo, el Esquema de la AEPD no contempla, al menos por ahora, esta clasificación de niveles o categorías de EPDs, siendo unitario el sistema de certificación, y articulado en una sola categoría: o se dispone de certificación o no se dispone de ella.

Por otra parte, existen otras cualidades un tanto intangibles que también conviene atesorar al DPD en razón de las funciones que realiza: un cierto conocimiento de la organización; empatía y sensibilidad con las preocupaciones de los afectados por incumplimiento en el tratamiento de los datos; proactividad y carácter resolutivo; conocimientos o habilidades de mediación de conflictos; etc(24).

3.4.- Comunicación del nombramiento del DPD a la AEPD y difusión de su existencia

Conforme al art.37.7 RGPD, “El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control”. Más concretamente, el art.34.3 y 4 LOPD establece un plazo de 10 días para comunicar el nombramiento o ulteriores incidencias, debiendo mantener la AEPD una relación actualizada de los DPDs en activo(25).

Además, el responsable o encargado del tratamiento darán la siguiente difusión a la existencia del DPD (nombre y datos de contacto): publicación en los medios de difusión de la entidad (como páginas web), art.37.7 RGPD; en la información o aviso legal que se ofrezca a los interesados cuando se recaben datos, art.13.1 b) RGPD; en el registro de actividades de tratamiento de datos, art.30.1 a) RGPD; y en la notificación a las autoridades de control de las violaciones del régimen de protección de datos, art.33.3 b). Esta amplia difusión, unida a la envergadura de sus funciones, confiere al DPD una gran visibilidad y un destacable impacto reputacional: es la cara visible de la organización de cara a los afectados y a las autoridades de control, por lo que puede convertirse en una divisa o factor de calidad para una organización: no ya sólo disponer de DPD, sino la concreta persona o entidad que desempeñe la función.

IV. RESPONSABILIDAD DEL DELEGADO POR LOS INCUMPLIMIENTOS DEL RÉGIMEN DE PROTECCIÓN DE DATOS Y RÉGIMEN DE INFRACCIONES Y SANCIONES

El RGPD no tipifica expresamente como infracción la inexistencia del DPD en las organizaciones en que sea preceptivo. Ahora bien, a la luz del Reglamento, y en atención al relieve que adquiere esta figura, parece llano que tal conducta merece ser calificada cuando menos de infracción grave. Así lo corrobora el art.73 v) LOPD, que tipifica como infracción grave “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”. Esa misma gravedad entraña la infracción tipificada en la letra w): “No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones”. Por su parte, el art.74 p) tipifica como infracción leve “No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”.

Ahora bien, el régimen de sanciones que establece el art.77.2 PLOPD únicamente contempla el apercibimiento, sin admitir las sanciones económicas. Los reproches que merece esta opción normativa (admitida por el RGPD) son sobradamente conocidos.

De otro lado, por lo que hace a la conducta del propio DPD, el art.70.2 LOPD dispone que: “No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este título”, por lo que la figura queda intangible y exenta de toda responsabilidad sancionadora, reduciéndose su grado de exposición a la eventual exigencia de responsabilidad disciplinaria (por incumplimiento de sus funciones, se sobrentiende), pero únicamente en el caso de que el DPD sea empleado público. Ahora bien, cuando la fórmula organizativa implantada sea la externalización del servicio, doctrinalmente se ha defendido la posibilidad de incurrir en dos tipos de responsabilidades: la estrictamente contractual, aplicando las penalidades que se hayan estipulado en el contrato; y la civil patrimonial (ésta, más difícil de articular), cuando pueda acreditarse un desempeño negligente del que haya derivado un daño efectivo a la organización; esto no supone verdaderamente una novedad o especialidad respecto del régimen de responsabilidad de cualquier profesional o servicio contratado por una organización(26).

NOTAS:

(1). Este trabajo se elaboró para el libro-homenaje al Prof. Ángel Menéndez Rexach, y en el marco del proyecto de investigación DER2017-87955-P, “El ejercicio de potestades administrativas como criterio de aplicación del Derecho administrativo” concedido por el Ministerio de Economía, Industria y Competitividad. Esta versión se ha actualizado tras la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la publicación del Esquema de Certificación del Delegado de Protección de Datos por parte de la AEPD.

(2). El Considerando 76 RGPD es claramente expresivo de cuanto se afirma, al determinar que “La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto”.

(3). Cabe puntualizar que el sector público sigue exento de tales sanciones, aunque el art.83.7 RGPD remite a los ordenamientos nacionales para que establezcan la imposición de estas multas y su cuantía.

(4). En efecto, el primer antecedente del DPD es el Beauftragterfür den Datenschutz, contemplado por el art.38 de la Ley alemana de protección de datos de 1977.

(5). Según las estimaciones de la IAPP (International Association of Privacy Professionals); véase la noticia de este estudio en Enlace (última visita: 18/01/2019).

(6). DOCG, Serie A, nº 13-1, de 24/11/2017.

(7). En la memoria de impacto normativo del RGPD se define al DPD como “una persona que, en el seno de un responsable o un encargado del tratamiento, supervisa y monitorea de forma independiente la aplicación interna y el respeto de las normas sobre protección de datos. El DPD puede ser tanto un empleado como un consultor externo”; véase Comisión Europea, Commission Staff Working Paper, Impact Assessment, SEC (2012) 72 final, de 25/1/2012.

(8). Cfr. Jiménez Asensio, R.: La aplicación del Reglamento (UE) de protección de Datos en la Administración Pública: especial referencia a los entes locales, IVAP, Oñati, 2018, p.99.

(9). Cfr. Sánchez Ors, C.: “El Delegado de Protección de Datos: Guardián de la Privacidad (arts.37, 38 y 39)”, en López Calvo, J., El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, Bosch-Wolters Kluwer, Madrid, 2018, p.494.

(10). Esa misma es la idea principal que subyace en la aportación de Recio Gayo, M.: “Directrices del GT29 sobre el delegado de protección de datos: figura clave para la responsabilidad (<<accountability>>)”, Diario La Ley, nº 2, 12/1/2017.

(11). Según la literalidad del precepto, “El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.

(12). Esta disposición establece que las medidas técnicas y organizativas implantadas “se revisarán y actualizarán cuando sea necesario”, lo que inevitablemente evoca una revisión periódica del sistema, cuya frecuencia estará en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas.

(13). Precepto que impone la implementación de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

(14). Que regula las auditorías que deben llevar a cabo los grupos de empresas para verificar el cumplimiento de las normas corporativas.

(15). El art.77 LOPD incluye a las fundaciones públicas entre las organizaciones que deben contar con DPD. Jiménez Asensio, R.: La aplicación, op.cit., p.100, destaca la incoherencia que supone incluir a las fundaciones y no a las empresas mercantiles.

(16). Se trata, concretamente, de las siguientes entidades: a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales; b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas; c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala; d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito; f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial; g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras; h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre; i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos; j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo; k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas; n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego; y ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

(17). Se trata de unas directrices elaboradas por el Grupo de Trabajo del Artículo 29, Guidelines on Data Protection Officers, de 13/12/2016, 16/EN WP 243, revisión de 5/4/2017, accesible en Enlace (última visita: 18/01/2019).

(18). Por ejemplo, que la organización determine los puestos que son incompatibles con la función de DPD; que se redacte un protocolo o norma interna para evitar que incurra en conflicto de interés; recabar al DPD la firma de una declaración de no incurrir en conflicto como medio para concienciarle sobre este aspecto; etc. Véanse las Guidelines, cit., pp.13 ss.

(19). A decir de Jiménez Asensio, debe ser funcionario, del Grupo A1, y su nombramiento no debe ser por libre designación (para garantizar su independencia); véase Jiménez Asensio, R.: “El delegado de protección de datos en las Administraciones públicas”, entrada del blog “La mirada institucional”, del 14/1/2018, accesible en Enlace (última visita 18/01/2019).

(20). Véase Sánchez Ors, C.: “El Delegado”, op.cit., pp.507 ss.

(21). Véase las Guidelines, op.cit., p.11.

(22). La versión actual es la 1.3, de 13 de junio de 2018, y se encuentra accesible en Enlace (última vista: 18/01/2019). La certificación es expedida por entidades de certificación acreditadas por ENAC conforme a la norma ISO 17024:2012 (organismos que realizan certificación de personas); en el mismo sitio web se ofrece información sobre estas entidades..

(23). En la sección “Prerrequisitos, p.8; y en el Anexo I. Se establecen cuatro alternativas que combinan experiencia profesional y formación: 1) Al menos 5 años de experiencia; 2) Al menos 3 años de experiencia y formación mínima de 60 horas; 3) Al menos 2 años de experiencia y formación mínima de 100 horas; o 4) Formación mínima de 180 horas.

(24). Un amplio catálogo de estos rasgos deseables en el perfil del DPD puede verse en Sánchez Ors, C.: “El Delegado”, pp.507 ss.

(25). Para articular todas estas exigencias se ha puesto en marcha un registro por la AEPD, que dispone de un formulario en línea para proceder a las comunicaciones que correspondan; el Registro es accesible en Enlace (última visita: 18/01/2019).

(26). En la misma línea, Sánchez Ors, C.: “El Delegado”, op.cit., p.538.

Comentarios - 1 Escribir comentario