¿Las administraciones públicas tienen que designar un Delegado de Protección de Datos (DPO)? ¿Qué responsabilidades y funciones tiene el Delegado de Protección de Datos en las administraciones públicas, como son un Ministerio, una Consejería o un Ayuntamiento? ¿Se puede contratar un DPO externo para ocupar este puesto en las AA. PP.?
En este artículo hablamos de:
- ¿Deben las administraciones públicas designar un Delegado de Protección de Datos?
- Posición del DPO en las administraciones públicas
- ¿Qué funciones va a desempeñar el Delegado de Protección de Datos en las administraciones públicas?
- Delegado de Protección de Datos en las administraciones públicas ¿interno o externo?
¿Deben las administraciones públicas designar un Delegado de Protección de Datos?
Sí, las administraciones públicas deben contar con Delegado de Protección de Datos, así lo establece el artículo 37.1 del RGPD:
El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público.
La única excepción son los tribunales cuando estos actúen en el ejercicio de su función judicial.
Por lo tanto, cualquier entidad pública u organismo de la administración debe designar un Delegado de Protección de Datos obligatorio.
Entre los requisitos para ser Delegado de Protección de Datos en las administraciones públicas, igual que en las empresas privadas, se deberán tener conocimientos especializados en Derecho y protección de datos, así como experiencia en su gestión, para poder desempeñar las funciones que este puesto tiene atribuidas.
Posición del DPO en las administraciones públicas
El RGPD permite el nombramiento de un único Delegado de Protección de Datos para varios organismos o autoridades públicas, siempre teniendo en cuenta la estructura organizativa y su tamaño. Por lo tanto, se puede designar un DPO para toda una administración pública, como puede ser un Ministerio o un Ayuntamiento.
Ahora bien, se recomienda que cuando existan grandes unidades u órganos con entidad y tareas claramente diferenciadas dentro de esa misma administración, se nombre un DPO específico para ellas.
Así mismo, el Delegado de Protección de Datos de la administración pública deberá estar adscrito dentro órganos o unidades con competencias y funciones de carácter horizontal, ya que sus funciones afectan a todos sus departamentos y secciones. Además, deberá poder relacionarse con facilidad con la dirección del órgano u organismo.
El DPO en las administraciones públicas podrá desarrollar su actividad a tiempo completo o parcial, pudiendo desempeñar otro puesto aparte, aunque en estos casos habrá que evitar posibles conflictos de intereses, ya que el DPO funciona como asesor y supervisor interno en materia de protección de datos, este puesto no debería desempeñarse por un alguien que deba tomar decisiones relacionadas con el tratamiento de datos.
Dependiendo del tamaño del organismo u órgano, el DPO podrá contar con la asistencia de un departamento.
Para poder desempeñar sus obligaciones y responsabilidades en materia de protección de datos en la administración pública, el DPO deberá tener completa autonomía e independencia, no recibir injerencias de otros puestos o cargos ni ser sancionado por el responsable o el encargado por causas relacionadas con el desempeño de sus funciones.
¿Qué funciones va a desempeñar el Delegado de Protección de Datos en las administraciones públicas?
Con carácter general, las funciones del Delegado de Protección de Datos en las administraciones públicas son similares a las que desempeñaría en una empresa privada:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados en materia de protección de datos.
- Supervisar el cumplimiento del RGPD y la LOPDGDD.
Esas funciones se pueden concretar en las siguientes tareas de asesoramiento y supervisión:
- Cumplimiento de los principios de protección de datos.
- Identificación de las bases jurídicas que legitiman los tratamientos.
- Valorar la compatibilidad de nuevas finalidades diferentes a las que se establecieron para recabar los datos.
- Conocimiento sobre normativa sectorial que pueda determinar condiciones específicas para el tratamiento de datos.
- Diseño e implementación de medidas de información a los interesados.
- Establecimiento de sistemas para la recepción y gestión de las solicitudes de derechos de los interesados.
- Valoración de las solicitudes de derechos.
- Contratación de encargados de tratamiento y supervisión de los contratos.
- Identificación de los instrumentos de transferencia internacional de datos y de las razones que hacen necesaria la transferencia.
- Auditorías de protección de datos.
- Establecer y gestionar los registros de actividades de tratamiento.
- Asistencia en los análisis de riesgos y determinar si es necesario hacer una evaluación de impacto.
- Implementación de las medidas de seguridad.
- Establecer protocolos para la gestión de brechas de seguridad.
- Formación.
- Intermediario entre la administración pública y la AEPD u otras autoridades de control.
Delegado de Protección de Datos en las administraciones públicas ¿interno o externo?
De acuerdo a lo establecido por la normativa, las administraciones públicas pueden designar a un Delegado de Protección de Datos interno o contratar a un Delegado de Protección de Datos externo con una empresa especializada, como puede ser una consultoría especializada en protección de datos.
Aunque cualquier entidad pública puede contratar los servicios de un DPO externo, se recomienda especialmente para aquellas administraciones públicas de menor tamaño, especialmente cuando no dispongan de empleados que cuenten con los requisitos necesarios para desempeñar las funciones del puesto.