¿Deben los ayuntamientos nombrar un Delegado de Protección de Datos? ¿Quién puede ser designado como DPO en la administración local? ¿Qué requisitos debe cumplir? ¿Qué funciones tiene un Delegado de Protección de Datos para Ayuntamientos? En las siguientes líneas respondemos a estas y otras cuestiones relacionadas con la figura del DPO en Ayuntamientos.
En este artículo hablamos de:
- ¿Deben los Ayuntamientos designar un Delegado de Protección de Datos?
- ¿Quién puede ser designado Delegado de Protección de Datos para Ayuntamientos?
- Cómo designar un Delegado de Protección de Datos para Ayuntamientos
- Funciones del DPO en Ayuntamientos
- ¿Necesita un Delegado de Protección de Datos para su Ayuntamiento? Grupo Atico34 puede ayudarle
¿Deben los Ayuntamientos designar un Delegado de Protección de Datos?
Los Ayuntamientos deben siempre designar un Delegado de Protección de Datos, puesto que como entidad pública, están obligados a ello, tal y como establece el artículo 37.1 del RGPD; el responsable y el encargado del tratamiento designarán un DPO cuando:
El tratamiento lo lleve a cabo una autoridad y organismo público […].
Por lo tanto, los Ayuntamientos, en su calidad de responsable del tratamiento de datos, deben designar un Delegado de Protección de Datos para cumplir con la normativa de protección de datos, con independencia del número de habitantes del municipio.
Ahora bien, dependiendo del tamaño del Ayuntamiento, las condiciones para designar un DPO varían, como veremos más adelante.
Cabe señalar que los cabildos y consejos insulares también deben nombrar un Delegado de Protección de Datos obligatorio.
¿Quién puede ser designado Delegado de Protección de Datos para Ayuntamientos?
De acuerdo a la ley protección de datos en Ayuntamientos, puede ser designado como Delegado de Protección de Datos cualquier persona física o jurídica, que cumpla con los siguientes requisitos:
- Tener conocimiento especializado en Derecho (si bien no hace falta que sea jurista).
- Tener conocimientos y experiencia práctica en materia de protección de datos (aunque no es necesario estar certificado como DPO para ejercer).
Así mismo, la normativa permite a los Ayuntamientos nombrar tanto a un Delegado de Protección de Datos interno, es decir, un funcionario o empleado del consistorio que asumirá las funciones y responsabilidades del DPO, como a uno externo, contratando este servicio a través de una consultoría especializada en protección de datos (con la que deberá suscribir un contrato de encargado del tratamiento).
En caso de nombrar un DPO interno, este cargo podrá ser desempeñado de manera individual por una sola persona, o crear un departamento dedicado a ello para que asista al DPO. Es importante señalar que deben evitarse los conflictos de intereses, por lo que no debería nombrarse DPO a miembros del Ayuntamiento que ocupen puestos relacionados con la toma de decisiones respecto a tratamiento de datos personales.
En cualquier caso, el Delegado de Protección de Datos de los Ayuntamientos debe adscribirse a órganos o unidades municipales con competencias y funciones de carácter horizontal, ser completamente independiente y autónomo y tener capacidad para relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones.
Además, el DPO podrá ejercer sus funciones tanto a tiempo completo como a tiempo parcial, dependiendo del tamaño del Ayuntamiento. Es decir, en corporaciones de gran tamaño, lo lógico es que el DPO ejerza sus funciones a tiempo completo, mientras que para pequeños municipios, podrá desempeñar sus tareas a tiempo parcial.
DPO en Ayuntamientos de más de 20.000 habitantes
La designación de un Delegado de Protección de Datos en Ayuntamientos de más de 20.000 habitantes puede hacerse en los términos que hemos visto en el punto anterior, es decir, puede nombrarse un DPO interno o externo para el Ayuntamiento.
En el supuesto de que se designe un Delegado de Protección de Datos interno para el Ayuntamiento, se podría designar al secretario, interventor o tesorero, siempre que no suponga alguna clase de conflictos de intereses en relación al ejercicio de sus respectivas funciones. Así mismo, el DPO podrá contar con un departamento de apoyo.
DPO en Ayuntamientos de menos de 20.000 habitantes
Los Ayuntamientos de menos de 20.000 habitantes también pueden designar un DPO interno o externo en los mismos términos vistos hasta ahora. Pero en el caso de que no dispongan de los medios o el personal para nombrar un Delegado de Protección de Datos, podrán solicitar su nombramiento a la Diputación Provincial o Comunidad Autónoma Correspondiente.
Cómo designar un Delegado de Protección de Datos para Ayuntamientos
Una vez se ha escogido a la persona o entidad que será nombrada como Delegado de Protección de Datos en el Ayuntamiento, atendiendo, como hemos dicho, a su formación en Derecho y conocimientos y experiencia en materia de protección de datos, tanto si lo designa el propio Ayuntamiento como si se hace a través de la Diputación Provincial o la Comunidad Autónoma, se deben seguir estos pasos:
- Identificar el órgano o unidad en la que se integrará el DPO dentro del Ayuntamiento.
- Definir la posición en la estructura administrativa del Ayuntamiento y asegurar su autonomía e independencia, así como la ausencia de conflictos de intereses.
- Comunicar la designación del DPO a las correspondientes autoridades de control (AEPD y, en su caso, la autoridad de control de la Comunidad Autónoma si existe). Para ello se tiene un plazo de 10 días hábiles desde el nombramiento.
- Crear una dirección de correo electrónico específica para el DPO y publicarla en la página web del Ayuntamiento (así mismo, esta dirección debe figurar en las cláusulas de información de protección de datos y en la política de privacidad de la web).
- Notificar al personal del Ayuntamiento el nombramiento del DPO.
Funciones del DPO en Ayuntamientos
Las funciones mínimas del Delegado de Protección de Datos en los Ayuntamientos son las mismas que las que tendría un DPO de una entidad privada, y que recoge el artículo 39 del RGPD:
- Informar y asesorar al responsable del tratamiento y a los funcionarios y empleados del Ayuntamiento que se ocupen del tratamiento de datos personales, de las obligaciones en materia de protección de datos establecidas en el RGPD y la LOPDGDD.
- Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del Ayuntamiento en esta materia, incluida la asignación de responsabilidades, la concienciación y la formación del personal que participe en actividades de tratamientos, así como las auditorías correspondientes.
- Asesorar sobre la realización de evaluaciones de impacto en protección de datos.
- Cooperar con la AEPD y cualquier otra autoridad de control que proceda.
- Actuar como punto de contacto de las autoridades de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas sobre cualquier otro asunto relativo a protección de datos.
Así mismo, el DPO en Ayuntamientos también recibirá las reclamaciones que le dirijan los ciudadanos, respondiéndoles de la decisión adoptada en un plazo máximo de dos meses. También podrá recibir las reclamaciones que le remita la AEPD con carácter previo al inicio de un expediente de declaración de infracción. En este caso, la decisión adoptada se comunicará tanto a la AEPD como al interesado en un plazo máximo de un mes.
Si a través de alguna de estas dos vías, el DPO consigue que el Ayuntamiento, como responsable del tratamiento, resuelva la reclamación, no se iniciará un expediente de declaración de infracción (sin perjuicio de que el interesado pueda dirigirse posteriormente a la AEPD).
¿Necesita un Delegado de Protección de Datos para su Ayuntamiento? Grupo Atico34 puede ayudarle
Si su Ayuntamiento necesita nombrar un Delegado de Protección de Datos, Grupo Atico34 puede ayudarle; nuestros DPO tienen formación y experiencia demostrada en materia de protección de datos, y contará con asesoría 24/7, para resolver todas las dudas sobre tratamientos de datos y cubrir las funciones específicas del DPO para el Ayuntamiento.