El delegado de protección de datos como garante del derecho fundamental a la protección de datos personales en las Administraciones Públicas

Abstract

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos, ha sido concebido para servir a la humanidad mediante la defensa y protección del derecho fundamental a la protección de datos de carácter personal de los ciudadanos. Este Reglamento ha supuesto un cambio paradigmático, implicando el paso a un sistema normativo proactivo, preventivo y flexible, basado en el enfoque en los riesgos en los derechos y libertades de los interesados, en la privacidad desde el diseño y en la revisión continua, susceptible de adaptarse a cualquier tratamiento de datos personales que se lleve a cabo. Ha sido concebido para anticiparse a los problemas, en un intento de evitar que los riesgos en los derechos y libertades de los interesados presentes en un tratamiento de datos personales lleguen a materializarse en daños concretos. Esta pretensión de evitar la obsolescencia de esta norma jurídica ha incrementado notablemente la complejidad de su comprensión y aplicación. Nace, por tanto, la necesidad de un especialista que auxilie al responsable y encargado del tratamiento a cumplir con el Reglamento, constituyendo, de esta forma y en sí mismo, una garantía al derecho fundamental a la protección de datos de carácter personal. En este contexto, el Reglamento establece la figura del delegado de protección de datos y obliga a las administraciones públicas a designarlo. No por obvio se puede dejar de mencionar la gran cantidad de tratamientos de datos personales que realizan las administraciones públicas, el número ingente de ciudadanos afectados por aquellos y a la enorme cantidad de datos personales que son tratados, incluyendo categorías especiales de datos personales. La ayuda precisa que procura un delegado de protección de datos deviene imprescindible. El nombramiento del delegado de protección de datos no debe concebirse como una mera formalidad administrativa, sino que ha de ser un garante efectivo, cierto y real del derecho fundamental. Lo contrario impactaría directamente la pérdida de control y disposición de los datos personales que conciernen a los ciudadanos. Enfrentarnos al reto de encajar y adaptar esta figura en nuestro ordenamiento jurídico, articulando específicamente un modelo de designación e incorporación eficaz y garantista del delegado de protección de datos en las administraciones públicas, es lo que constituye el objeto de esta tesis. De esta forma, se examina la cuestión partiendo de la evolución del derecho fundamental a la protección de datos de carácter personal, se plantea una nueva visión del derecho de autodeterminación informativa, destacando la parte preventiva y proactiva impuesta por el Reglamento general de protección de datos de la que forma parte la figura del delegado de protección de datos, respecto del que se determina su regulación, se le define y examina su naturaleza jurídica. La tesis plantea una propuesta de un modelo de delegado de protección de datos en las administraciones públicas examinando a tales efectos las cualidades profesionales para el desempeño, las condiciones y supuestos de designación de aquel, su posición en la estructura de la organización administrativa, las funciones que desempeña, así como la necesidad de desarrollo de un estatuto jurídico de DPD. Por último, expone una solución crítica organizativa, ejemplo paradigmático para la Comunidad Autónoma de Castilla y León.

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), which lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data, is designed to serve mankind by defending and protecting the right to data protection. This Regulation has meant a paradigmatic change, implying the move to a proactive, preventive and flexible regulatory system, based on the focus on risks in the rights and freedoms of natural persons, on data protection by design and on continuous review, capable of adapting to any processing of personal data that is carried out. It has been designed to anticipate problems, in an attempt to prevent risks to the rights and freedoms of natural persons presents in the processing of personal data from materializing in concrete damages. This attempt to avoid the obsolescence of the Regulation has significantly increased the complexity of its understanding and application. Therefore, ther is a need for a person with expert knowledge of data protection law and practices to assist the controller or the processor in complying with the Regulation, which constitutes a guarantee of the right to data protection. In this context, the Regulation obliges public bodies to designate a data protection officer. It is worth notingg the large amount of processing of personal data carried out by public bodies, the huge number of citizens affected by them and the enormous amount of personal data that are processed. The help of the data protection officer is essential. The designation of the data protection officer should not be conceived as a mere administrative formality, but should be an effective, certain and real guarantee of the right to data protection. Otherwise, it would have a direct impact on the loss of control and disposition of personal data concerning citizens. The object of this tesis focuses on the challenge of adapting the application of the rules of this Regulation relating to the data protection officer to our legal system, specifically in public bodies. In this way, the evolution of the right to data protection is examined, showing a new vision of the right, highlighting the perventive and proactive part of which the data protection officer is part, in relation to which its regulation is determined, its legal nature is defined and examined. The thesis proposes a model of data protection officer in public bodies, examining for this purpose the professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks, ensuring the position of the data protection officer in the administrative bodies. More specifics provisions about the data protección officer are needed. Finally, a critical organizational solution is presented, a paradigmatic example for the Autonomous Community of Castilla y León.