¿Es posible sancionar a un organismo público por no contar con la figura del DPO?

diciembre 2021

Desde la reforma en el año 2018 de la normativa en materia de Protección de Datos, la aparición de la figura del Delegado de Protección de Datos, DPO por sus siglas en inglés (Data Protection Officer) se ha vuelto una figura indispensable en la mayoría de las empresas y organismos públicos.

El Reglamento General de Protección de Datos (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, cuya transposición a España se produjo, como decíamos, en el año 2018) dispone en su artículo 37 la obligación de contar con un delegado de protección de datos a la hora del tratamiento de los mismos. Uno de estos casos en los que es obligatoria la figura del DPO son las Administraciones Públicas.

La importancia que a día de hoy tienen nuestros datos es una realidad evidente e indiscutible. Sin entrar en la modalidad de la Inteligencia Artificial, una de las expresiones más claras de la afirmación anterior, nuestros datos son hoy algo así como una moneda de cambio o un medio de supervivencia vital y virtual. Por ello, cada día más, se requiere de su máxima protección y correcto tratamiento por parte de aquellos a quienes se los proporcionemos; ya sea una empresa privada o un organismo público.

Si bien es cierto que en la práctica todavía no todo el mundo cumple con el requisito obligatorio de contar con un DPO, es importante saber que este incumplimiento puede –y legalmente debe– pasar factura.

Así ha ocurrido recientemente en un Ayuntamiento de Murcia (España) en el que el organismo, tras la jubilación de la persona que venía ejerciendo este papel, no renovó la figura del DPO.

Consecuentemente, dicha administración fue sancionada por la Agencia Española de Protección de Datos (AEPD) en una resolución de 4 de octubre de 2021 que compartimos a continuación y que denota la importancia de esta figura en una época claramente dominada por las nuevas tecnologías.

BREVE RESUMEN DE LOS HECHOS

En el caso concreto se interpuso una reclamación frente al organismo público mencionado por carecer de DPO, tal y como exige la normativa de protección de datos, en base a que el cargo y funciones de tal figura le fueron atribuidas en su momento de forma temporal a una persona que, desde hace más de un año, no venía realizando dichas funciones. Constando incluso la resolución de jubilación de la persona que realizaba las funciones del cargo. Además, la administración, no interpuso alegaciones frente a la reclamación.

CONSIDERACIONES IMPORTANTES A TENER EN CUENTA SOBRE LA IMPORTANCIA DEL DPO

Con lo anterior, y ante la negativa de respuesta por parte del Ayuntamiento, la AEPD se vio en la obligación de interponer una sanción de apercibimiento (aunque de calificación grave) advirtiendo a la administración infractora de las posibles consecuencias que tendría que acarrear en caso de no subsanar el defecto de no contar con esta figura.

La autoridad de control requiere a dicho organismo para que, en el plazo de un mes, nombre un DPO e informe de ello a la AEPD ya que, teniendo en consideración que las Administraciones Públicas pueden actuar como responsables o encargados del tratamiento de datos, deben “atender las obligaciones que el RGPD detalla, entre las que se incluye la de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlos a la AEPD”.

Así, tal y como indica la AEPD, el artículo 37.1.a) del RGPD establece que se deberá designar un DPO cuando “el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial”. 

En este sentido, los órganos y organismos del Sector Público tienen la obligación de designar un DPO que cuente con la debida cualificación, así como de garantizarle los medios necesarios para el ejercicio de sus funciones y de notificar tal designación a la AEPD para su inclusión en el Registro Público de DPO.

No se trata, por tanto, de una figura únicamente obligatoria para las empresas privadas, sino que también incumbe a los organismos públicos.

Es por ello que la propia resolución declara la infracción del artículo 37 del RGPD por parte del Ayuntamiento en cuestión, con la consecuente imposición de la sanción.

Lo que pretende la AEDP con esta sanción a una administración pública es darle el valor que merece y la importancia que corresponde a la obligación de designar un DPO cuando así la Ley lo prevea, ya que, en la actualidad, nuestros datos personales son uno de los bienes más preciados y valiosos.

Si bien lo anterior se refiere a un caso sucedido el marco de la normativa europea, más concretamente dentro de la española, conviene indicar la misma importancia de esta figura también en América Latina.

En el ámbito latinoamericano legislaciones como las de México, Ecuador y el Uruguay establecen propiamente esta figura ajustando sus competencias en mayor o menor medida al modelo europeo. Colombia y Panamá por vía reglamentaria, han participado de este ejercicio; y en Costa Rica, el proyecto de reforma integral a su actual Ley de protección de datos personales considera igualmente la incorporación del DPO, exigiendo también que toda institución pública cuente con tal nombramiento.

Sara del Río | Mauricio Garro