Muchos organismos, profesionales y particulares todavía no lo saben, pero que todos los ayuntamientos y entidades locales cuenten en su equipo con un delegado de protección de datos (DPD) es una obligación legal. Otros, en cambio, sí son conscientes de este requerimiento, pero parecen no conocer muy bien el valor que tiene esta figura en el sector público.
La privacidad y protección de los datos es hoy una creciente preocupación para muchas empresas, pero también debe serlo para los ayuntamientos. Por eso, en APDTIC hemos querido arrojar luz y aclarar las dudas alrededor del trabajo y la importancia del DPD (o DPO, en inglés, Data Protection Officer) en este webinar, titulado ‘Beneficios del ciudadano cuando el ayuntamiento cuenta con un DPD’.
Con este artículo, además, pretendemos animar a todos los ayuntamientos y entidades locales a dar el paso y designar a un DPD para que garantice los derechos de los ciudadanos y el cumplimiento de la normativa vigente.
DPD y sector público: las particularidades
La obligación de designar a un delegado de protección de datos está vigente en España mediante la aprobación en los últimos años de una serie de normas y recomendaciones:
- Reglamento General de Protección de Datos (RGPD) de la Unión Europea, de 2016.
- Ley Orgánica de Protección de Datos Personales y garantías de los derechos digitales (LOPDGDD), de 2018.
- Las guías, orientaciones, informes y resoluciones que la Agencia Española de Protección de Datos (AEPD) ha ido publicando a lo largo de este tiempo y que sigue día a día muy activa.
En concreto, el artículo 37.1 del RGPD establece que “el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público”. Queda clara, por tanto, la obligación de contar con un DPD, también en el sector público.
No obstante, hay algunas cuestiones más que habrá que tener en cuenta, además de su necesaria designación:
- El DPD tiene que contar con la suficiente cualificación, especialmente podrá demostrarse con un título universitario que acredite conocimientos de derecho y experiencia en materia de protección de datos (artículo 35 LOPDGDD).
- Puede ser interno o externo, y en este último caso, si es una persona jurídica, deberá designar responsable a una persona física.
- El DPD no asumirá ninguna responsabilidad personal por las posibles infracciones de su organización, sino que los responsables serán los ayuntamientos y entidades locales.
- Todos los órganos del sector público tienen la obligación de publicar en su página web un registro de las actividades relacionadas con el tratamiento de datos personales, identificando quién es su responsable y cuáles son sus objetivos.
- Además, asumirán el deber de informar al ciudadano sobre todas estas cuestiones.
Ejemplo de sanción a un ayuntamiento
Mediante el Procedimiento PS/00001/2020, la AEPD ha sancionado al Ayuntamiento de Huercal (Almería) por carecer de un delegado de protección de datos. Una muestra de las consecuencias a las que puede tener que enfrentarse cualquier ayuntamiento si decide no designar a un DPD, aparte del perjuicio que ello puede suponer para los derechos de los ciudadanos en esta materia.
En su resolución, la AEPD sostiene que cualquier concejal del ayuntamiento tenía acceso a los datos del padrón. Y no solo eso: acredita que determinadas personas sin relación laboral alguna con el ayuntamiento podía llegar a conocer datos sensibles, como quiénes son usuarios de servicios sociales o qué personas se encuentran en riesgo de exclusión social.
¿Qué funciones tiene un DPD?
El artículo 39 del RGPD indica muy claramente cuáles han de ser las funciones mínimas de un delegado de protección de datos. Y decimos mínimas, porque cada organización puede ampliar estas funciones si lo considera conveniente. Como mínimo, un DPD en el sector público se encargará de:
- Proporcionar suficiente información a los responsables del tratamiento de los datos sobre las obligaciones y recomendaciones vigentes en materia de protección de datos.
- Supervisar que se cumple todo lo que el RGPD dispone, especialmente todo lo referente a la asignación de responsabilidades, la formación de los trabajadores y las auditorías.
- Evaluar el impacto en el ámbito de la protección de datos y, conforme a los resultados, asesorar a quien lo solicite dentro de la organización.
- Cooperar con las autoridades competentes.
- Ser el punto de contacto entre las autoridades y la institución.
Principales beneficios de designar a un DPD
Puede parecer un simple requerimiento más, pero designar a un DPD, interno o externo, en en el sector público proporciona importantes beneficios:
Para los ayuntamientos y las entidades locales
A los propios trabajadores, el DPD les proporciona la seguridad suficiente para saber que están haciendo las cosas bien. Su control, su asesoramiento y sus recomendaciones evitarán que se impongan sobre el organismo sanciones como las que hemos comentado más arriba.
Sin duda, un DPD promoverá la concienciación interna de la organización y el seguimiento constante en la materia de protección de datos y la seguridad de la información.
Para los ciudadanos
Saber que su ayuntamiento o cualquier otra entidad local cuenta con un DPD permite a los ciudadanos tener garantizados sus derechos en relación con la protección de datos. Básicamente, hablamos de los derechos de:
- Acceso.
- Rectificación.
- Cancelación (más conocido como derecho al olvido).
- Oposición.
- Limitación del tratamiento.
- Portabilidad.
En cualquiera de estos casos, el afectado podrá ponerse en contacto con el DPD antes de presentar una denuncia ante la AEPD. Y, llegado el caso, la AEPD tendrá esto en cuenta.
Para los proveedores que prestan servicio a la Administración
En el sector público, aquellos proveedores que trabajen con los ayuntamientos o las entidades locales y manejen, traten o almacenen datos personales (de ciudadanos, del personal interno, etc.) deben nombrar también a un DPD, por ser considerados los encargados del tratamiento (artículo 37.1 RGPD). De hecho, ya está sucediendo que los ayuntamientos y entidades locales empiezan a exigir esta figura a los proveedores en los contratos y licitaciones.
Esto quiere decir que, además de seguridad y tranquilidad en su organización interna, contar con un DPD ayudará a los proveedores a ofrecer mayores garantías a las entidades públicas que sean sus clientes.
En definitiva, designar a un delegado de protección de datos es imprescindible, a la vez que beneficioso, también en el sector público. Todos los ayuntamientos y entidades locales deberían dar este necesario paso cuanto antes para evitar sanciones. Y, sobre todo, para ofrecer un servicio de mayor calidad al ciudadano.
Para obtener más información, en APDTIC estamos a tu disposición. Ponte en contacto con nosotros y trasládanos tus dudas o necesidades específicas en relación con la figura del DPD en el sector público. ¡Estaremos encantados de atenderte!