Leyendo el borrador de Reglamento de Protección de Datos de la UE, me planteo varias cuestiones sobre la implementación de esta figura en el ámbito de las Administraciones públicas -y no precisamente respecto a sus funciones, que todos podemos imaginarnos cuales son-, ya que en las mismas será obligatorio la citada implementación.
En primer lugar, algunas Administración públicas ya cuentan con esta figura –más bien, un servicio o subdirección, como puede ser el Excmo. Ayuntamiento de Madrid-, pero teniendo en cuenta la estructura y funcionamiento de las mismas habrá que determinar:
-¿Creación de un Cuerpo específico para tal fin? ¿Grupo A? ¿Grupo B? Mientras se crea dicho grupo, ¿Quién asume dichas funciones? ¿Cuerpo de Administración General, ya sea Grupo A o B? ¿Cuerpo de los TIC’s (dónde exista)?
-Ligado al punto anterior, se exige que esta figura sea un experto en la materia y tenga unas habilidades al respecto. ¿Existe en la actualidad personal en las AAPP con este perfil? La respuesta, en la mayoría de los casos, será un “no”. ¿Puede ejercer este puesto un empleado público que tenga un curso de protección de datos? Pues por poder…pero si queremos dignificar tanto la profesión del profesional de la privacidad, como esta nueva figura, la respuesta de nuevo tendría que ser no.
-Otra opción sería acudir a un contrato de servicios, de manera que se subcontrate la figura. Aquí el problema estriba que del texto del borrador de Reglamento se desprende que el DPO tiene que ser una persona física, con lo cual dejaría fuera de la contratación a las personas jurídicas. Craso error desde mi punto de vista, ya que por ejemplo, una misma empresa se podría encargar de realizar esta función en varias AAPP, por lo que creo que para la adaptación de esta figura a nuestro ordenamiento jurídico debe interpretarse su regulación de forma flexible.
Conectado al primer punto, según el borrador de Reglamento, esta figura no sólo es independiente, sino también en lo referente a su cese, ya que el nombramiento sería por un período de dos años sólo pudiendo ser cesado en el caso de no cumplir con sus responsabilidades.
Recordemos que en el ámbito de las Administraciones públicas, un empleado público puede ser cesado discrecionalmente, por lo que habría que dotar a esta figura, en el caso de que fuese ejercida por un empleado público, con un estatus específico que garantizase su independencia e inamovilidad.
Por otra parte, como he comentado antes no hay que perder de vista la estructura administrativa. Así, nos podemos encontrar que el responsable de todos los ficheros sea una Consejería o cada una de las Direcciones Generales (por ejemplo, a nivel autonómico). ¿La diferencia? En el primer caso, un sólo “Responsable de protección de datos”; en el segundo, uno por cada una de las Direcciones Generales. Pero es que incluso, no todas las Direcciones Generales realizan el mismo volumen de tratamiento de datos, así que unas podría ser indispensable esta figura, y en otras, excesiva o de nula utilidad.
Siguiendo con este punto, en un Ayuntamiento mediano o pequeño ¿Un “Responsable de protección de datos” para cada una de las Concejalías? Pongamos como ejemplo el Excmo. Ayuntamiento de Madrid o el de Alcobendas, tienen un servicio de protección de datos que coordina todas las actuaciones en esta materia a nivel municipal.
Obviamente, no se discute la existencia de esta figura en un Hospital, pero, ¿Cómo se articula en los Servicios Sociales que se caracterizan por la dispersión de centros existentes? ¿Serían necesario un responsable en cada uno de los centros? Por ejemplo, Concejalía o Consejería de Servicios Sociales con Centros de Día, Atención a Inmigrantes, Atención a Mujeres Maltratadas…etc…En este caso, influye la concepción de “centralización-descentralización” en la declaración del fichero: puede ser que se haya declarado en la Concejalía, o bien, cada uno de los Centros mencionados tenga su respectivo fichero.
Por último, habría que establecer también cuál es la relación entre esta figura y la Autoridad de Control correspondiente, ya que su nombramiento debe ser comunicado a esta última. Entre ambos tiene que fraguarse una estrecha colaboración y cooperación en aras de garantizar el derecho a la protección de datos de los ciudadanos. Sobre este tema, me interesa la relación entre ambos referida a los posibles procedimientos sancionadores contra el responsable, ya que del texto filtrado se desprende que el DPO tiene un marcado perfil de asesor. No obstante, el mencionado texto ya apunta a que el DPO podría ser el canal de comunicación en dichos procedimientos no sólo en las brechas de seguridad, sino también cuando dice que “debe contestar los requerimientos de la Autoridad de Control”.
En resumen, aplaudo la figura, aunque en el ámbito de las AAPP veo tremendas dificultades en articular el “quién” y “dónde”.
Universo LOPD: tu blog de protección de datos 