Reflexiones sobre el delegado de protección de datos en el sector público
La posible afectación de los derechos y libertades de las personas en relación a los datos de carácter personal debe ser objeto de atención para todo jurista y profesional especializado en este sector pero, sí además se está prestando un servicio en la Administración, como empleado público (funcionario o laboral), debemos ir un paso más allá y orientar nuestros esfuerzos al incremento de la calidad de vida de la ciudadanía.
En general, es necesaria una mayor concienciación en materia de privacidad y disminuir el desequilibrio de control entre los titulares y los poseedores de los datos personales.
El sector público no es ajeno a estos ni a otros problemas, presentando además ciertas características que lo hacen objeto de especial atención:
- Maneja grandes cantidades de datos.
- Existe cierta relajación de las personas administradas porque confían en la Administración y, al tiempo, ésta corre el peligro de relajarse al no estar expresamente sancionada su falta de acción.
- La obligatoriedad normativa de la existencia del DPD en la Administración es un claro indicio de la importancia de garantizar ciertos derechos.
La aplicación de la normativa presenta dificultades de carácter práctico, como por ejemplo la falta de disposición en algunas entidades públicas de personas suficientemente cualificadas para ejercer las funciones de DPD por lo que su designación y comunicación a las autoridades de protección de datos puede constituir un formalismo vacío de contenido.
A continuación analizamos algunas obligaciones y aspectos del responsable y del encargado del tratamiento que aparecen recogidas tanto en el Reglamento General de Protección de Datos (RGPD) como en el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). Deben ser objeto de desarrollo para que se puedan materializar de forma práctica en el sector público:
1. Obligación de garantizar la participación del DPD en las cuestiones relativas a la protección de datos personales
Según el artículo 38.1 RGPD el responsable y el encargado del tratamiento deben asegurar dicha participación, de forma adecuada y en tiempo oportuno. Sin embargo, en determinadas entidades públicas (especialmente las de menor tamaño organizativo) se pueden plantear incógnitas al respecto: ¿Qué cargo o persona concreta de la entidad pública es la encargada de involucrar a este profesional? ¿Cómo lo hará? ¿Cómo establecerá el equilibrio entre su acceso a la información y la confidencialidad o el deber de secreto?
Deberá determinarse la persona o cargo de referencia que velará por “involucrar” de forma efectiva al DPD en la organización. Puede ser útil establecer un procedimiento o protocolo mediante el cual se especifique la forma adecuada de conseguir dicho objetivo, por ejemplo estableciendo los parámetros que permitan asegurar un grado mínimo de participación. Estos procedimientos deberían ser homogéneos para todas las administraciones y atender, además, al desarrollo consensuado de la expresión: “en tiempo oportuno” huyendo de cualquier actuación improvisada o tardía.
Una forma de involucrar al DPD es mediante su participación en reuniones con los cuadros directivos de forma regular. Para ello sería conveniente establecer cronogramas y protocolos sobre el adecuado funcionamiento de dichas reuniones, dejando constancia fehaciente de los acuerdos adoptados en actas. Todo ello para asegurar que, cualquier decisión con implicación en la protección de datos llegará, con toda seguridad, al DPD. Los procedimientos normalizados de trabajo pueden contemplar la prevención de muchos problemas y la forma de resolverlos, como, por ejemplo, el método para consultar con prontitud al DPD ante la existencia de un incidente grave.
El Grupo del Artículo 29 (GT 29) establece que el DPD debe ser tomado en consideración y añade la obligación de argumentar y documentar las razones de no seguir su consejo. Ese especial compromiso es más sólido si se prevén documentalmente estas situaciones y se recoge la forma de proceder en cada supuesto mediante instrucciones o directrices concretas, cómo la determinación de los casos en que debe ser consultado.
La participación está relacionada con la transversalidad y la cooperación y coordinación interdepartamental dentro de la entidad pública. El DPD debe formar parte de los grupos de trabajo que están relacionados con el tratamiento de datos y todas estas relaciones deberían estar previstas y reguladas.
2. Obligación de respaldar al DPD en el ejercicio de sus funciones
De acuerdo con lo preceptuado en el artículo 38.2 RGPDUE, el responsable y el encargado ofrecerán respaldo al DPD. Esto se materializa facilitando:
- Acceso a los datos y a las operaciones de tratamiento. (Artículo 36.3 Proyecto LOPD).
- Los recursos necesarios para desempeñar sus funciones.
- El mantenimiento de sus conocimientos especializados (formación).
Todo ello requiere que, de forma previa, se conciencie y se instruya al empleado público de forma que sea conocedor de estas necesidades para no obstaculizar su puesta en práctica en cada entidad. Pero, además, debería precisarse el alcance real de todos y cada uno de estos aspectos. Al igual que ocurre con otros conceptos jurídicos indeterminados (como “a gran escala”) existe poca claridad y definición que puede ralentizar el ejercicio de las funciones del DPD.
Por eso ofrece mayores garantías la existencia de directrices claras o instrucciones que delimiten con toda la exactitud posible la forma de acceso, los recursos que se consideran mínimamente necesarios y los programas y horas mínimas destinadas a la actualización de conocimientos, así como la organización interna para hacer posible dicha formación.
3. Independencia o autonomía del DPD
Una de las características más importantes de la posición del DPD es su autonomía e independencia (Artículo 38.3 RGPDUE), definida en tres aspectos:
- El responsable y el encargado deben garantizar que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones.
- No puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
- El DPD rendirá cuentas al más alto nivel jerárquico del responsable o encargado.
La última redacción del Proyecto LOPD ha añadido una frase al anterior artículo 36.2 sobre la Posición del DPD: “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.
Las garantías para asegurar la autonomía del DPD deberían ser concretadas, especialmente en el caso de aquellas personas que desempeñan estas funciones con carácter interno en la entidad pública y, en particular, si compagina la función de DPD con el desarrollo de otras tareas en la entidad.
Cuanto más definidas estén las actividades y más experiencia y conocimientos posean los responsables de cada departamento o área de DPDs, más fácil será lograr una autonomía real.
Respecto a la rendición de cuentas, el DPD reporta su actividad a los más altos responsables de la organización y estos deberían adoptar las medidas adecuadas para cumplir sus indicaciones. Solo así se hace real su actividad de supervisión. Sin embargo esta tarea puede verse obstaculizada por determinados intereses y prioridades de carácter político que hace necesaria la previsión de consecuencias y resolución de este tipo de incidencias mediante procedimientos preestablecidos.
El artículo 36.2 del Proyecto LOPD específica que el DPD sólo podrá ser removido o sancionado si incurre en dolo o negligencia grave en su ejercicio. En el caso de las entidades públicas podemos plantearnos la duda de quién debe instruir estos procedimientos disciplinarios para asegurar una total neutralidad. La determinación del propio concepto “grave” también puede generar incógnitas.
Otro aspecto a estudiar relacionado con la necesidad de autonomía es la posibilidad de ejercer las funciones de DPD por parte de personas en régimen de interinidad.
La consecución de la independencia real puede que sea una de las preocupaciones prioritarias de los profesionales de la protección de datos.
En el caso del DPD interno a tiempo parcial deben establecerse salvaguardas específicas de detección y de adopción de soluciones alternativas si surgen conflictos de intereses. Como en los casos anteriores, la previsión normativa y organizativa resulta imprescindible en el sector público.
4. Otros aspectos sobre la figura del DPD en el sector público
La Agencia Española de Protección de Datos (AEPD) ha considerado necesario establecer un sistema de certificación de profesionales de protección de datos que permite evaluar a los candidatos. Sobre los requisitos de formación del DPD en el sector público, la provisionalidad en la designación de la acreditación de las entidades certificadoras no ayuda. A fecha de hoy sólo dos han conseguido la designación definitiva. A pesar de ser un punto de referencia para acreditar la capacidad y la formación profesional adecuada, el DPD público requiere otros conocimientos relacionados con la legislación y los procedimientos administrativos.
5. Externalización e Internalización
La decisión de externalizar o internalizar el DPD del sector público presenta argumentos a favor y en contra. De un lado la externalización puede generar una disminución en el control. De otro, parece que resulta más fácil asegurar la independencia o autonomía del/de la profesional.
Pero si consideramos que la prestación de servicios relacionados con la protección de datos implica cierto ejercicio de autoridad, la opción de desempeñar el cargo un/a funcionario/a gana terreno. Si optamos por esta solución habrá que consensuar su posición orgánica concreta en la estructura de puestos de trabajo definiendo su estatuto.
Después de escuchar las opiniones de varios profesionales que ejercen las funciones de DPD en el sector público, podríamos priorizar en orden de relevancia los aspectos prácticos más preocupantes a fecha de hoy:
- Hacer efectiva la ejecución real del despliegue orgánico que comporta la nueva figura del DPD en el sector público tal y como prevé la normativa. (Y controlar dicho despliegue).
- Ofrecer la formación necesaria al personal de todas las administraciones públicas. (En especial a las personas de referencia de cada departamento o área).
- Toma de contacto real e inicio de las actividades de cada DPD.
- Establecer los criterios básicos mínimos aplicables a todas las administraciones públicas para que la supervisión de la actividad en cada organización sea homogénea.
Las reflexiones sobre todos estos aspectos pueden ayudar a generar debate y ser autoconscientes del punto real de partida en el cual nos hallamos. El análisis de estas situaciones debe servir para prever los problemas y para sugerir soluciones efectivas.
Para ello se va a requerir un esfuerzo considerable de creación de protocolos, procedimientos normalizados de trabajo, instrucciones, circulares y otras normas cuyo objetivo debe ser la homogeneidad en el sector público reduciendo al mínimo la interpretabilidad estableciendo, entre otros aspectos:
- La forma de determinación de las personas responsables de los tratamientos.
- El modo de ser consultado el DPD ante determinadas incidencias y las consecuencias de no seguir sus consejos.
- La manera de hacer del DPD un interlocutor real en la Administración.
- Planes y proyectos de organización que aseguren el compromiso de asignación de los recursos y las alternativas en caso de incumplimiento.
- Convenios de colaboración transversal entre departamentos definiendo totalmente las responsabilidades y las tareas.
- Planes de formación para los profesionales y para el empleado público.
Nos hallamos ante un gran reto, por otro lado apasionante, cuya implicación y responsabilidad de resolución corresponde, además del legislador y las autoridades a todas aquellas personas profesionales del sector de la protección de datos.
Sergio Duarte
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!