¿Una Empresa Pública debe nombrar a un DPO?

Datos Personales, E-Administración, RGPD 3 minutos

De todos es sabido que, con el nuevo Reglamento de Protección de Datos, que entrará en vigor plenamente en mayo del año que viene, se crea una nueva figura como es el Delegado de Protección de Datos. Ésta figura es obligatoria, según el artículo 37 en tres casos:

  • Cuando la entidad que trata los datos realice una «observación habitual y sistemática de interesados a gran escala».
  • Cuando la entidad que trata los datos, realice tratamientos a gran escala de categorías especiales de datos o datos sobre condenas e infracciones penales.
  • Cuando la entidad que trata los datos sea una autoridad u organismo público.

Me quiero centrar en que se entiende por organismo público. Si acudimos a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, podemos encontrar la definición de sector público en su artículo 2.1:

  • Administración General del Estado.
  • Administraciones de las Comunidades Autónomas.
  • Entidades que integran la Administración Local.
  • Sector público institucional que se comprende según el artículo 2.2 de la Ley 40/2015 los siguientes organismos:

    • Cualesquier organismos público y entidad de derecho público vinculada a una Administración Pública.

    • Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, cuando ejerzan potestades administrativas.

    • Universidades públicas, aunque se regirán primeramente por su normativa específica y supletoriamente por las previsiones de Ley 40/2015.

Respondiendo a la pregunta que nos hacíamos en el título de este artículo y con la definición de sector público de nuestra normativa, podríamos llegar a la conclusión que una empresa pública (es decir, aquella, en la que mayor parte de su capital provenga de una Administración Pública), siempre que ejerza una potestad pública se considera sector público institucional (no voy a entrar en la forma en cómo una entidad privada puede ejercer una potestad pública, que eso es otra cuestión) y por tanto, a los efectos del Reglamento General de Protección de Datos, un organismo público y por tanto, debería nombrar un Delgado de Protección de Datos.

No obstante, esta interpretación me parece un poco forzada, porque en el Reglamento Europeo se habla de Organismo Público y en la Ley 40/2015 se regula el Sector Público y el Sector Público institucional y puede que estos conceptos no sean equivalentes. Por ello, prefiero acudir al concepto de Organismo Público de la normativa europea.

Este concepto, tradicionalmente se ha venido recogiendo en las Directivas de Contratación Pública y actualmente, lo podemos encontrar en la Directiva 2014/24/UE del Parlamento Europeo de 26 de febrero de 2014 sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (que recientemente ha sido recogida en nuestro ordenamiento jurídico mediante la nueva  Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público). Esta Directiva se define como Organismo de Derecho Público a aquella entidad que cumpla las siguientes características:

  • Haberse creado para satisfacer necesidades de interés general que no tengan carácter industrial o mercantil.
  • Tener personalidad jurídica propia.
  • Se de alguna de estas circunstancias:
    • Estar financiada mayoritariamente por una Administración Pública u otro Organismos de Derecho Público o
    • Al menos la mitad de sus miembros de su órgano de administración sean nombrado por una Administración Pública.

Desde la perspectiva de la Directiva 2014/24/UE, cuando una entidad sea un Organismo de Derecho Público, ésta se considera un poder adjudicador. Si esta Directiva la interpretamos conjuntamente con el Reglamento General de Protección de Datos, llegaríamos a esta sencilla conclusión: si una empresa pública cualquiera, es considerada un poder adjudicador, es porque se entiende que es un Organismo de Derecho Público y, por tanto, desde la perspectiva del Reglamento de Protección de Datos, debería contar con un Delegado de Protección de Datos.

Así, a la pregunta que planteaba inicialmente de si una Empresa Pública debe nombrar a un DPO, la respuesta es que si, siempre que desde la perspectiva de la contratación pública se considere un poder adjudicador.

 

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

 

Publicado por Gontzal

Especialista en Derecho de las TIC. Colegiado en el Colegio de la Abogacía de Bizkaia. Interesado en todo lo que se cuece en/para/por Internet.

Publicado

2 comentarios sobre “¿Una Empresa Pública debe nombrar a un DPO?

  1. Interesante artículo!
    Deduzco entonces que una empresa mercantil local de capital íntegramente municipal debería nombrar un DPO?

    Responder

    1. Hola Javier,
      Me alegro de que te haya interesado el post.
      Si esa empresa municipal es poder adjudicador, entiendo que debiera nombrarlo.

      Saludos

      Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.