El Responsable de Protección de Datos (DPO) en las AAPP.

Leyendo el borrador de Reglamento de Protección de Datos de la UE, me planteo varias cuestiones sobre la implementación de esta figura en el ámbito de las Administraciones públicas -y no precisamente respecto a sus funciones, que todos podemos imaginarnos cuales son-, ya que en las mismas será obligatorio la citada implementación.

En primer lugar, algunas Administración públicas ya cuentan con esta figura –más bien, un servicio o subdirección, como puede ser el Excmo. Ayuntamiento de Madrid-, pero teniendo en cuenta la estructura y funcionamiento de las mismas habrá que determinar:

 -¿Creación de un Cuerpo específico para tal fin? ¿Grupo A? ¿Grupo B? Mientras se crea dicho grupo, ¿Quién asume dichas funciones? ¿Cuerpo de Administración General, ya sea Grupo A o B? ¿Cuerpo de los TIC’s (dónde exista)?

-Ligado al punto anterior, se exige que esta figura sea un experto en la materia y tenga unas habilidades al respecto. ¿Existe en la actualidad personal en las AAPP con este perfil? La respuesta, en la mayoría de los casos, será un “no”. ¿Puede ejercer este puesto un empleado público que tenga un curso de protección de datos? Pues por poder…pero si queremos dignificar tanto la profesión del profesional de la privacidad, como esta nueva figura, la respuesta de nuevo tendría que ser no.

-Otra opción sería acudir a un contrato de servicios, de manera que se subcontrate la figura. Aquí el problema estriba que del texto del borrador de Reglamento se desprende que el DPO tiene que ser una persona física, con lo cual dejaría fuera de la contratación a las personas jurídicas. Craso error desde mi punto de vista, ya que por ejemplo, una misma empresa se podría encargar de realizar esta función en varias AAPP, por lo que creo que para la adaptación de esta figura a nuestro ordenamiento jurídico debe interpretarse su regulación de forma flexible.

Conectado al primer punto, según el borrador de Reglamento, esta figura no sólo es independiente, sino también en lo referente a su cese, ya que el nombramiento sería por un período de dos años sólo pudiendo ser cesado en el caso de no cumplir con sus responsabilidades.

Recordemos que en el ámbito de las Administraciones públicas, un empleado público puede ser cesado discrecionalmente, por lo que habría que dotar a esta figura, en el caso de que fuese ejercida por un empleado público, con un estatus específico que garantizase su independencia e inamovilidad.

Por otra parte, como he comentado antes no hay que perder de vista la estructura administrativa. Así, nos podemos encontrar que el responsable de todos los ficheros sea una Consejería o cada una de las Direcciones Generales (por ejemplo, a nivel autonómico). ¿La diferencia? En el primer caso, un sólo “Responsable de protección de datos”; en el segundo, uno por cada una de las Direcciones Generales. Pero es que incluso, no todas las Direcciones Generales realizan el mismo volumen de tratamiento de datos, así que unas podría ser indispensable esta figura, y en otras, excesiva o de nula utilidad.

Siguiendo con este punto, en un Ayuntamiento mediano o pequeño ¿Un “Responsable de protección de datos” para cada una de las Concejalías? Pongamos como ejemplo el Excmo. Ayuntamiento de Madrid o el de Alcobendas, tienen un servicio de protección de datos que coordina todas las actuaciones en esta materia a nivel municipal.

Obviamente, no se discute la existencia de esta figura en un Hospital, pero, ¿Cómo se articula en los Servicios Sociales que se caracterizan por la dispersión de centros existentes? ¿Serían necesario un responsable en cada uno de los centros? Por ejemplo, Concejalía o Consejería de Servicios Sociales con Centros de Día, Atención a Inmigrantes, Atención a Mujeres Maltratadas…etc…En este caso, influye la concepción de “centralización-descentralización” en la declaración del fichero: puede ser que se haya declarado en la Concejalía, o bien, cada uno de los Centros mencionados tenga su respectivo fichero.

 Por último, habría que establecer también cuál es la relación entre esta figura y la Autoridad de Control correspondiente, ya que su nombramiento debe ser comunicado a esta última. Entre ambos tiene que fraguarse una estrecha colaboración y cooperación en aras de garantizar el derecho a la protección de datos de los ciudadanos. Sobre este tema, me interesa la relación entre ambos referida a los posibles procedimientos sancionadores contra el responsable, ya que del texto filtrado se desprende que el DPO tiene un marcado perfil de asesor. No obstante, el mencionado texto ya apunta a que el DPO podría ser el canal de comunicación en dichos procedimientos no sólo en las brechas de seguridad, sino también cuando dice que “debe contestar los requerimientos de la Autoridad de Control”.

En resumen, aplaudo la figura, aunque en el ámbito de las AAPP veo tremendas dificultades en articular el “quién” y “dónde”.

Anuncios

7 Responses to “El Responsable de Protección de Datos (DPO) en las AAPP.”


  1. 1 Héctor Guzmán diciembre 19, 2011 en 8:56 am

    Buenos días:

    Como muchas de esas iniciativas que se vienen esperando desde hace tiempo, lo primero es agradecer que por fin se plasme (aunque sea en un proyecto “filtrado”) la figura del DPO dentro de las organizaciones responsables de tratar datos personales.

    Creo que las diversas cuestiones planteadas en tu post no hacen sino explicar por qué es necesario que estos proyectos “se filtren”: Se comienza a cuestionar el cómo; se comienzan a prever situaciones reales y retos de implementación.

    Dentro de todas las cuestiones que has planteado, considero que una de las más importantes es el perfil de los profesionales/funcionarios que habráin de asumir el papel de DPO en las organización.

    Si el modelo se configura de la forma proyectada, las AAPP deberían dar paso a medidas de contratación y/o de de formación para crear perfiles que puedan cumplir con las funciones que se esperan del DPO.

    A futuro, creo que puede esperarse generación de trabajo en muchos frentes y, eventualmente, que aumente la dignificación del profesional de la privacidad, a que también te refieres.

    Por otro lado, con gente en Europa analizando el proyecto como lo estás haciendo, es factible que la versión definitiva elimite el craso error de limitar a personas físicas el papel del DPO.

    Saludos,
    Héctor

  2. 2 Alfonso Pacheco diciembre 27, 2011 en 6:09 pm

    Buenas tardes, Javier, Héctor e innumerables lectores de este estupendo blog. La cuestión es si esto se va a quedar en papel mojado o no, y si es un nuevo brindis al sol. ¿Cumplen en general (ya sé que las hay que cumplen) las AAPP la LOPD? No ¿Cumplen las AAPP el ENS? No ¿Cumplen o han implantado las AAPP la Administración electrónica? No Entonces… ¿cómo van a cumplir esto también? Yo creo que de la misma manera

  3. 3 Derecho de las TICs enero 31, 2012 en 7:20 pm

    Buenas tardes Javier.

    En primer lugar felicitarte por tu máginifico blog y los temas tan interesantes que nos planteas.

    En cuanto al tema que nos ocupa preguntarte si sabes de que Administraciones Públicas y Entidades Privades cuentan ya con DPO y si sabes de alguna oferta de empleo y oposiciones a DPO.

    Estaría bien que realizaramos un censo de Administraciones Públicas y Entidades Privadas que ya cuentan con un DPO y un boletín sobre oposiciones y ofertas de empleo para DPO.

    Saludos.

    Derecho de las TICs

    http://derechodelastics.blogspot.com

    • 4 fjaviersempere febrero 1, 2012 en 12:21 pm

      Gracias por tus amables comentarios.

      Por ahora, al no ser la figura obligatoria, no existen oposiciones DPO -que yo sepa, vamos-.

      Conozco los supuestos que he comentado -Ayto.Madrid, Alcobendas y seguramente alguno más-, que actúan como DPO. Más bien es una Subdirección General o Servicio.

      Salu2 cordiales.

  4. 5 @derechodelastic febrero 6, 2012 en 3:03 pm

    Gracias Javier.

    Yo se además de la Diputación de Barcelona, el Ayuntamiento de Santa Cruz de Tenerife, la Diputación de Burgos.

    Otra cosa que no acabo de entender, es ¿cómo van a crearse éste tipo de plazas en la Admón Pública si por lo visto su función durará DOS años según he podido entender?

    Gracias

    • 6 fjavier_sempere febrero 6, 2012 en 3:37 pm

      Hola de nuevo y gracias por tu comentario,

      Parto de lo siguiente:

      – El futuro Reglamento no puede configurar cómo articular esta figura en el ámbito de las AAPP ya que hay que ir a cómo se contrata el personal en cada una de las AAPP de la Unión Europea. Como entenderás, es una labor ciertamente imposible. En otras palabras, en Francia y España existe la forma de acceso mediante oposición. En otros países, contrataciónlaboral pura y dura.

      – Dejando al margen la subcontratación en el ámbito público de esta figura, si se quiere hacer de forma seria, lo ideal sería crear un cuerpo funcionarial.

      – De lo contrario, nos encontraremos que cualquiera con un curso de protección de datos pueda ejercer esta figura.

      La diferencia entre crear un cuerpo o no, radica fundalmentalmente en dotar a esta figura de su debida relevancia.


  1. 1 La figura del Responsable de Protección de Datos, un gran impulso para la profesión (1ª parte) | BITácora Trackback en diciembre 30, 2011 en 11:59 am

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Twitteando

¿De qué hablamos?


A %d blogueros les gusta esto: