Algunas cuestiones sobre el DPD en las AAPP. Informe 295/2019 AEPD

Una de las novedades que el RGPD primero y la LOPGDD han provocado mayores dudas en el ámbito de la gestión pública es la designación del Delegado de Protección de Datos (DPD) y el régimen aplicable al mismo, en especial, por el modelo de empleo público. Sobre esta cuestión se ha pronunciado la AEPD a partir de informe de su Gabinete Jurídico 295/2019, en el que, a solicitud de una Comunidad Autónoma se pronuncia sobre los siguientes extremos:

Tras recordar el marco europeo aplicable, específicamente lo dispuesto en los arts. 37 a 39 RGPD, y arts. 34 a 37 LOPDGDD emite los siguientes pronunciamientos:

1.- ¿Quién es el órgano competente en las AAPP para designar al DPD?

Tras recordar las normas reguladoras del ejercicio de la competencia administrativa en la Ley 40/2015, de 1 de octubre, señala el informe que la autonomía de las organizaciones en las que se encuadren los Delegados, claramente derivadas en los preceptos transcritos, no pueden ser óbice para la necesaria garantía de la seguridad jurídica en el marco de las relaciones jurídicas “ad intra” y “ad extra” en las que haya de concretarse su labor.

Ab initio la competencia para designar al DPD que se encuentra recogida en el art. 37 del RGPD corresponde al responsable del tratamiento de datos de carácter personal, sin perjuicio de que la remisión que el RGPD realiza al Derecho nacional permita el recurso de fórmulas de nombramiento del DPD que tengan en consideración elementos organizativos -preferentemente desarrollados a través de normas jurídicas-, propios del Derecho administrativo interno para el nombramiento del DPD. Sin perjuicio de ello, afirma, con carácter general, que el nombramiento del DPD de una Administración pública, órgano administrativo, o ente público, o bien de varios órganos o entidades públicas, puede realizarse por un órgano de nivel jerárquico superior a aquél o aquéllos que detenten la responsabilidad en relación con los tratamientos de los datos de carácter personal.

2.- Si el DPDP tiene equipo de soporte¿ se le aplican a éste las prescripciones del mismo?

En el supuesto de designación de un único DPD, con un equipo de soporte, el Informe indica que el acceso a los datos personales y a los procesos de tratamiento, así como la capacidad inspectora en el ámbito de la organización a la que se refiere su actividad, corresponderá siempre al propio DPD, y no al personal adscrito a su “soporte”, siendo a éste al que le resultan exigibles los requisitos fijados por el marco legal. Dentro del ámbito de actividad del responsable o del encargado del tratamiento, y de acuerdo con las normas organizativas propias de cada entidad, los miembros del “equipo de soporte” podrían realizar funciones similares sólo en el supuesto de que -en el marco de la estructura de la organización administrativa- formaran parte del órgano responsable o encargado, incorporándose en el marco de su actividad propia -como tal responsable o encargado-.

En otro caso, sin perjuicio del apoyo técnico jurídico de los miembros componentes del “soporte” administrativo al que se refieren los Decretos precitados, corresponderá al responsable y/o al encargado, coadyuvar en orden al cumplimiento de los mandatos dimanantes de la normativa de protección de datos, accediendo -en su caso- a los datos personales y a los procesos de tratamiento.

3.- Es posible un DPD único para determinados centros

El informe aborda la consulta concreta sobre si sería válido el modelo señalado de DPD único para centros educativos, sanitarios y comités de ética de la investigación o la previsión del art. 34 de la LOPDGDD obliga a que se designe un DPD específico en el propio centro?  Precisa, en primer lugar que, con independencia del criterio organizativo seguido en el ámbito de una determinada Administración pública, así como del nombramiento único o múltiple de varios DPD, en ningún caso la fórmula adoptada podrá suponer una excusa para el debido cumplimiento del conjunto de las obligaciones dimanantes de la normativa.

No obstante lo anterior, el art. 34 de la LOPDDD establece el nombramiento específico de DPD en el supuesto de los colegios profesionales y sus consejos generales, de los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, y de los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, concluyendo, de hecho, en respuesta a la consulta particular, que la fórmula utilizada por el consultante no se ajusta a la LOPDGDD

4.- Compatibilidad de los requisitos de independencia e inamovilidad con el cese en los puestos de libre designación

Tras dejar  claro el debido respeto al principio de independencia de DPD, recordando que no podrá ser removido ni sancionado por el desempeño de sus funciones, salvo que incurriera en dolo o negligencia grave (matiz añadido por la normativa interna frente al RGPD), debiendo evitar, en todo caso, el posible conflicto de intereses, en los términos recogidos en las directrices del Grupo de Trabajo de sobre Protección de Datos del art. 29.

En este caso, la AEPD que no se puede primar una fórmula u opción específica de provisión, debiendo ajustarse a lo que establezca la respectiva Relación de Puestos de Trabajo, limitándose a recordar tan sólo la obligación de que la forma de selección del DPD, en el caso de que el puesto sea desempeñado por empleados públicos, se ajuste al procedimiento y requisitos legalmente exigibles, al margen de un forma de provisión u otra, que deja al ámbito de la autonomía organizativa de la respectiva administración pública.

Epílogo: Requisitos exigibles para  la designación de empleados públicos DPD

Finalmente, subrayar una serie de puntualizaciones de interés sobre los requisitos exigibles para  la designación de empleados públicos DPD:

  • En cuanto al conocimiento de la materia. – Aunque el Reglamento General de Protección de Datos no lo define, el nivel de conocimiento debe ser acorde con el tipo, cantidad y complejidad de datos que trate una organización.
  • En cuanto a su cualificación profesional. – Si bien no está precisado en el RGPD, en el ámbito público, debe exigirse un conocimiento sólido de las normas y procedimientos administrativos.
  • En cuanto a su capacidad. – Para desempeñar sus tareas debe tenerse en cuenta tanto sus cualidades personales y sus conocimientos como el puesto que ocupe en la organización. Entre las que se incluirían la integridad y un nivel elevado de ética profesional.

Precisiones que deben completarse con lo dispuesto en el el documento del Grupo del Artículo 29 “Directrices sobre los Delegados de Protección de Datos”, revisadas por última vez y adoptadas el 5 de abril de 2017.

Puedes consultar el Informe completo aquí