¿Cuáles son los sujetos y organismos responsables del tratamiento de datos dentro del sector público?

Encargado del tratamiento en el ámbito de la Administración pública

Según el apartado quinto del artículo 33 de la LOPDGDD, en la esfera del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las entidades que integran la Administración local o a los organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el siguiente contenido (artículo 28.3 del RGPD):

• Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del derecho de la Unión o de los EE. MM. que se aplique al encargado: en dicho caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, excepto que tal derecho lo prohíba por razones importantes de interés público.
• Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal.
• Tomará todas las medidas necesarias de acuerdo con el artículo 32 del RGPD.
• Respetará las condiciones referidas en los apartados 2 y 4 del artículo 28 del RGPD para recurrir a otro encargado del tratamiento.
• Asistirá al responsable, considerando la naturaleza del tratamiento, por medio de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan como fin el ejercicio de los derechos de los interesados dispuestos en el capítulo III del RGPD.
• Ayudará al responsable a garantizar el cumplimiento de las obligaciones dispuestas en los artículos 32 a 36 del RGPD estimando los siguientes aspectos:
  • La naturaleza del tratamiento.
  • La información a disposición del encargado.
• Suprimirá o devolverá los datos personales una vez concluya la prestación de los servicios de tratamiento (a elección del responsable), y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del derecho de la Unión o de los EE. MM.
• Pondrá a disposición del responsable la información necesaria para:
  • Demostrar el cumplimiento de las obligaciones indicadas en el artículo de referencia.
  • Permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por ese responsable. 

Delegado de protección de datos

a) Designación del DPD

Según la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos:

«Configura al Delegado de Protección de Datos (DPD) como una figura clave en el modelo de su cumplimiento para lo que debe ser conocedor del Derecho y la práctica en materia de protección de datos. El RGPD establece en su artículo 37 cuando un responsable o encargado debe proceder a su designación:

El Reglamento general de protección de datos (RGPD) configura al Delegado de Protección de Datos (DPD) como una figura clave en el modelo de su cumplimiento para lo que debe ser conocedor del Derecho y la práctica en materia de protección de datos. El RGPD establece en su artículo 37 cuando un responsable o encargado debe proceder a su designación:

 - El tratamiento se lleve a cabo por una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales».

A TENER EN CUENTA. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único DPD para varias de estas autoridades u organismos, considerando su estructura organizativa y tamaño (artículo 37.3 del RGPD).

b) Posición del DPD

El responsable y el encargado del tratamiento:

• Garantizarán que el DPD participe de manera adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
• Respaldarán al DPD en el desempeño de las funciones dispuestas en el artículo 39 del RGPD, facilitando los recursos necesarios para:
  • El desempeño de las citadas funciones.
  • El acceso a los datos personales y a las operaciones de tratamiento.
  • El mantenimiento de sus conocimientos especializados.
• Garantizarán que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. 

Por otro lado, el delegado de protección de datos:

• Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de acuerdo con el derecho de la Unión o de los EE. MM.
• Podrá desempeñar otras funciones y cometidos, no obstante, el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

El delegado de protección de datos tendrá como mínimo las siguientes funciones:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los EE. MM.
• Supervisar el cumplimiento de lo establecido en el RGPD, de otras disposiciones de protección de datos de la Unión o de los EE. MM y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de acuerdo con el artículo 35.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Si bien, el DPD ejercerá sus funciones atendiendo, de forma debida, a los riesgos asociados a las operaciones de tratamiento atendiendo al artículo 39 del RGPD, considerando:

• La naturaleza del tratamiento.
• El alcance del tratamiento.
• El contexto del tratamiento. 
• Los fines del tratamiento. 

CUESTIÓN

¿Qué preceptos de la LOPDGDD previene aspectos relativos del DPO?

El DPD o DPO se regula en los siguientes preceptos:

- Designación de un delegado de protección de datos (artículo 34 de la LOPDGDD).

- Cualificación del delegado de protección de datos (artículo 35 de la LOPDGDD).

- Posición del delegado de protección de datos (artículo 36 de la LOPDGDD).

- Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos (artículo 37 de la LOPDGDD).

Autoridades autonómicas de protección de datos

De acuerdo con lo dispuesto en el apartado primero del artículo 57 de la LOPDGDD, las autoridades autonómicas de protección de datos personales podrán desempeñar, las funciones y potestades dispuestas en los artículos 57 y 58 del RGPD, de conformidad con la normativa autonómica, cuando se refieran a los siguientes tratamientos:

• Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente CA o de las entidades locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
• Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración autonómica o local.
• Tratamientos que se encuentren expresamente establecidos, en su caso, en los respectivos estatutos de autonomía.

A TENER EN CUENTA.  Las autoridades autonómicas de protección de datos podrán emitir circulares con el alcance y los efectos dispuestos para la Agencia Española de Protección de Datos en el artículo 55 de la ley de referencia en relación con los tratamientos sometidos a su competencia (artículo 57.2 de la LOPDGDD).

CUESTIÓN

¿Qué funciones y potestades se regulan en los artículos 57 y 58 del RGPD?

En síntesis, las autoridades autonómicas de protección de datos tienen las siguientes funciones:

- Controlar la aplicación del RGPD y hacerlo aplicar.

- Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos, con especial atención de las actividades dirigidas a niños.

- Asesorar sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

- Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en el tratamiento de datos.

- Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos, y cooperar a fin del cumplimiento de obligaciones en tratamiento de datos, con las autoridades de control de otros EE. MM.

- Tratar las reclamaciones presentadas por un interesado o por un organismo.

- Cooperar compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.

- Llevar a cabo investigaciones sobre la aplicación del RGPD.

- Hacer un seguimiento de cambios que sean de interés en lo relativo a materia en la protección de datos personales.

- Adoptar cláusulas contractuales tipo.

- Elaborar y mantener una lista relativa a la EIPD. 

- Ofrecer asesoramiento sobre las operaciones de tratamiento relativa a la consulta previa.

- Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que den suficientes garantías.

- Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, y llevar a cabo la revisión periódica de estas certificaciones. 

- Elaborar y publicar los requisitos para la acreditación de organismos de supervisión de los códigos de conducta y efectuar tal acreditación. 

- Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3, del RGPD.

- Aprobar normas corporativas vinculantes de acuerdo con lo establecido en el artículo 47 del RGPD.

- Contribuir a las actividades del Comité Europeo de Protección de Datos. 

- Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas.

- Poderes de investigación.

- Poderes correctivos.

- Poderes de autorización y consultivos.