RGPD: Delegado de protección de datos

[alcen]

Buenas tardes,

Sobre la figura del delegado de protección de datos, ¿sabéis si se ha seguido alguna regla para todos los Ministerios en cuanto a si el delegado debe serlo también de los organismos adscritos?

Mi entendimiento es que no hay un criterio común porque veo 2 casos diferentes (he seleccionado dos ministerios al azar):

- MINCOTUR: Aquí al delegado en cuestión le ha tocado también serlo de los organismos adscritos.
http://www.mincotur.gob.es/es-ES/Pagina ... nales.aspx

- MINHA: Por el contrario, aquí parece que los organismos adscritos no le han tocado al delegado del Ministerio.
http://www.minhafp.gob.es/es-ES/El%20Mi ... D/dpd.aspx

Muchas gracias.

Un saludo

[dazu]

Buenas tardes,

Sobre la figura del delegado de protección de datos, ¿sabéis si se ha seguido alguna regla para todos los Ministerios en cuanto a si el delegado debe serlo también de los organismos adscritos?

Mi entendimiento es que no hay un criterio común porque veo 2 casos diferentes (he seleccionado dos ministerios al azar):

- MINCOTUR: Aquí al delegado en cuestión le ha tocado también serlo de los organismos adscritos.
http://www.mincotur.gob.es/es-ES/Pagina ... nales.aspx

- MINHA: Por el contrario, aquí parece que los organismos adscritos no le han tocado al delegado del Ministerio.
http://www.minhafp.gob.es/es-ES/El%20Mi ... D/dpd.aspx

Muchas gracias.

Un saludo

Buenas alcen,
El RGPD indica en Art 37.1.a que obligatoriamente debe designarse un DPD cuando el tratamiento lo hace un organismo público.
En Art 37.3 enuncia que, cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. En Art 37.6 afirma que el DPD puede ser personal interno del responsable o encargado, o estar subcontratado. Pero no es más específico al respecto de estos puntos.
En las guías de la AEPD, se proporcionan directrices para el nombramiento del DPD en los organismos públicos. Os adjuntamos al final de esta entrada un extracto de la guía "Funciones del DPD en AAPP" (incluida en Pack3, en Materiales adicionales de la carpeta "Protección de datos") y de un artículo de la newsletter de "Administración al día" con un artículo al respecto.
Resumiendo: Se podría designar un único DPD por Ministerio u OOPP. No obstante, en algunos Ministerios, debido a su tamaño o complejidad, se han designado varios delegados adscritos a diferentes áreas de actuación (p.ej. un DPD para Instituciones Penitenciarias en Min.Interior). En otros Ministerios, se ha optado por crear un pequeño equipo (no una única persona) que asuma las funciones de DPD. En cuanto a los Organismos Autónomos, según su tamaño y complejidad de funciones, podrían optar por tener su propio DPD (para los grandes) o acordar con su Ministerio la adscripción de esta función en su ámbito al DPD ministerial (si el OOAA es pequeño o con poco personal especializado que pueda hacerse cargo). Por último, reseñar que será muy poco habitual que un organismo de la AGE opte por la subcontratación del DPD, sino que esta función la hará personal interno del Ministerio (o del Ministerio al que esté adscrito en caso de OOAA).
Todo esto es elección de cada Ministerio u Organismo adscrito según su criterio, ateniéndose al RGPD por supuesto, de modo que podréis encontrar soluciones variadas, como mencionabas, sin haber un criterio común.

¡Saludos y ánimo con el estudio!

RGPD - AEPD - Funciones_DPD_en_AAPP
"1. Posición y funciones del DPD
El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas.
a) El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
Esta previsión está directamente relacionada con una de las primeras cuestiones a resolver en relación con los DPD en el ámbito público, que es la de determinar cuál va a ser su lugar en las organizaciones administrativas.
Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único DPD para, por ejemplo, un ministerio, consejería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un departamento ministerial, consejería o ayuntamiento (podrían ser ejemplos los casos de la Secretaría de Estado de Seguridad Social, responsable de la dirección y tutela de las Entidades Gestoras y Servicios Comunes de la Seguridad Social, o el de la Dirección General de Tráfico).
Por otra parte, y dadas las funciones del DPD, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal. Asimismo, el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones.
b) El RGPD prevé que el DPD podrá desarrollar su actividad a tiempo completo o a tiempo parcial y también que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
En órganos, organismos o entes de gran tamaño en que exista un único DPD lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el DPD formalmente nombrado esté respaldado por una unidad específicamente dedicada a la protección de datos. En entidades de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información).
El RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD. Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas."

http://laadministracionaldia.inap.es/no ... id=1508183 (Rafael Jiménez Asensio)
"Algunas reflexiones sobre la figura del Delegado de Protección de Datos en las Administraciones Públicas
¿Qué nivel orgánico debería tener en la estructura el Delegado de Protección de Datos?

No cabe duda que el estatuto jurídico descrito a grandes rasgos condiciona una de las decisiones más relevantes a la hora de insertar la figura del DPD en la estructura organizativa. Tras la decisión de internalizar o externalizar la figura, la segunda más relevante desde el plano organizativo es dónde y cómo se inserta el DPD en la estructura de la Administración Pública; esto es, qué nivel orgánico y en qué posición queda en relación con el resto de órganos y unidades, especialmente en lo que tiene que ver con el responsable y encargado de tratamiento de los datos personales.

Pero hay otra decisión previa a la expuesta. Y tiene que ver sobre si se crea una sola figura o se multiplica esta en función de áreas, departamentos o entidades. El RGPD parece dejar abiertas las dos posibilidades, pero solo en apariencia. En su artículo 37.3 se expone lo siguiente: “Cuando el responsable o encargado del tratamiento sea una autoridad u organismo, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”. No cabe duda que una entidad local de pequeño o mediano tamaño podría optar por la creación de una figura singular, pero un nivel de gobierno de cierta complejidad (por su estructura de áreas, departamental o de entidades vinculadas, dependientes o adscritas) parece razonable (según el espíritu del RGPD) que se incline por la implantación de delegados de protección de datos en cada ámbito previamente definido (algunas áreas o departamentos especialmente sensibles deberán disponer probablemente de varios delegados). Cabe preguntarse asimismo si el DPD podría tener personal a su servicio, tanto auxiliar como técnico. La respuesta debe ser afirmativa. El DPD es un nivel orgánico ad hoc, pero también un puesto de trabajo singular.

Las decisiones organizativas que ya vienen predeterminas por el RGPD, aparte de la anteriormente señalada, son las siguientes:

El DPD, si está internalizado, forma parte de “la plantilla” del responsable o del encargado del tratamiento (hay que entender, por tanto, de la organización o estructura de la Administración Pública o entidad del sector público correspondiente). La opción alternativa, como se ha visto, es externalizar a través de un contrato de servicios; pero habría que dejar muy claro en los pliegos el carácter y naturaleza de tales servicios, el estatuto singular, así como sus dimensiones y funciones.

La figura del DPD se caracteriza, tal como se ha visto, por su peculiar estatuto, cuya nota dominante es la independencia funcional. Por tanto, esa unidad orgánica o ese puesto de trabajo no puede estar incorporado en la línea jerárquica de ninguna estructura: debe crearse una estructura organizativa ad hoc, singularizada por su no dependencia orgánica ni funcional, pero adscrita desde el punto de vista presupuestario a un departamento o área de actuación. La AEPD considera que debe adscribirse a órganos o unidades de naturaleza “horizontal”, pero eso no es lo determinante (cuestión formal), sino que el aspecto crucial es que el diseño organizativo por el que se adopte salvaguarde plenamente la independencia en su funcionamiento (cuestión material).

En cualquier caso, el DPD no es una pieza aislada del modelo organizativo, sino que se debe incardinar en el modelo de seguridad de la información de cada entidad pública y formar parte de los órganos que se creen con esa finalidad (con las singularidades que presenta; esto es, como “asesor”, pero no como miembro de pleno derecho). Su inserción en el sistema de seguridad se ha hecho, por ejemplo, la Orden JUS/1293/2107, de 14 de diciembre, sobre política de seguridad de la información en el ámbito de la Administración electrónica (BOE 28 diciembre 2017), o se está trabajando en esa línea en el Ayuntamiento de Sant Feliú de Llobregat, articulando el ENS con la protección de datos en todo lo que afecta a análisis de riesgos, incorporando esa figura a la Comisión de Seguridad de la citada entidad.

Lo habitual es que en un determinado ámbito de actuación (departamentos, áreas ejecutivas o entidades del sector público, salvo que estas se agrupen) haya un DPD para cada una de ellas, pero la complejidad de determinados departamentos puede aconsejar que haya varios delegados según esferas de actuación (pensemos en ministerios o departamentos tales como Interior, Educación, Sanidad, etc.).

Dado el perfil de exigencias funcionales que se le atribuyen al DPD, así como las relativas a conocimiento y experiencia que debe acreditar para su nombramiento, este tipo de puestos de trabajo se deberán proveer entre funcionarios públicos del subgrupo de clasificación A1 (dado que ejercerán funciones de autoridad o potestades públicas) que acrediten tales competencias en procesos de provisión de puestos de trabajo abiertos. El RGPD deja claro que deben ser “puestos de plantilla” y “empleados”, algo en lo que también insiste la Nota de la AEPD que habla expresamente de “empleados públicos”, lo que parece cerrar por completo la puerta a que se cree un nivel orgánico de “alto cargo”, dado que se trata de puestos de trabajo de estructura y no aleatorios o cambiantes en función de políticas coyunturales.

No obstante, dada la dimensión trifásica de sus funciones, esto es, como (a) punto de contacto con la autoridad de control, (b) soporte y asesoramiento a la Administración pública en estos temas, y (c) instancia de resolución con carácter previo reclamaciones de los interesados sobre protección de datos (artículo 37.2 PLOPD); este puesto de trabajo tiene que configurarse como una suerte de “autoridad unipersonal independiente” que actúa en el seno de las estructuras administrativas, pero con una configuración dual (interna/externa) y de interlocución, lo que obliga a diseñar un modelo organizativo distinto y distante al tradicional. No encaja en las pautas ordinarias de la creación de puestos de trabajo en la función pública.

Es cierto que el RGPD admite que el DPD “pueda desempeñar otras funciones y cometidos”, por lo que cabría configurar una suerte de puestos de trabajo o estructuras funcionales mixtas, pero no es muy recomendable. No solo por los hipotéticos conflictos de intereses que se puedan producir, sino también por la esquizofrenia en el desarrollo de las tareas que ello comporta. Tal vez esta figura del DPD con dedicación parcial pueda ser una opción a barajar en las estructuras de gobiernos locales de pequeño o mediano tamaño o, en su defecto, en áreas de actuación pública con riesgos limitados en esta materia. En estos casos, según las Directrices citadas, debe reservarse un porcentaje de tiempo para las tareas de DPD.

La denominación del órgano “ad hoc” (y del puesto de trabajo) debería ser Delegado/a de Protección de Datos. Debe dotársele de un estatuto retributivo, al menos, similar al de una Subdirección General o Jefatura de Servicio, donde aquella no exista. Incorporarlo como “alto cargo” falsearía la finalidad y espíritu del RGPD, pues el nombramiento sería discrecional (no así el cese) y no se podrían acreditar las exigencias profesionales y de experiencia que el perfil del puesto requiere."