Posts Tagged 'protección de datos'

¿Una Empresa Pública debe nombrar a un DPO?

De todos es sabido que, con el nuevo Reglamento de Protección de Datos, que entrará en vigor plenamente en mayo del año que viene, se crea una nueva figura como es el Delegado de Protección de Datos. Ésta figura es obligatoria, según el artículo 37 en tres casos:

  • Cuando la entidad que trata los datos realice una “observación habitual y sistemática de interesados a gran escala”.
  • Cuando la entidad que trata los datos, realice tratamientos a gran escala de categorías especiales de datos o datos sobre condenas e infracciones penales.
  • Cuando la entidad que trata los datos sea una autoridad u organismo público.

Me quiero centrar en que se entiende por organismo público. Si acudimos a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, podemos encontrar la definición de sector público en su artículo 2.1:

  • Administración General del Estado.
  • Administraciones de las Comunidades Autónomas.
  • Entidades que integran la Administración Local.
  • Sector público institucional que se comprende según el artículo 2.2 de la Ley 40/2015 los siguientes organismos:
    • Cualesquier organismos público y entidad de derecho público vinculada a una Administración Pública.

    • Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, cuando ejerzan potestades administrativas.

    • Universidades públicas, aunque se regirán primeramente por su normativa específica y supletoriamente por las previsiones de Ley 40/2015.

Respondiendo a la pregunta que nos hacíamos en el título de este artículo y con la definición de sector público de nuestra normativa, podríamos llegar a la conclusión que una empresa pública (es decir, aquella, en la que mayor parte de su capital provenga de una Administración Pública), siempre que ejerza una potestad pública se considera sector público institucional (no voy a entrar en la forma en cómo una entidad privada puede ejercer una potestad pública, que eso es otra cuestión) y por tanto, a los efectos del Reglamento General de Protección de Datos, un organismo público y por tanto, debería nombrar un Delgado de Protección de Datos.

No obstante, esta interpretación me parece un poco forzada, porque en el Reglamento Europeo se habla de Organismo Público y en la Ley 40/2015 se regula el Sector Público y el Sector Público institucional y puede que estos conceptos no sean equivalentes. Por ello, prefiero acudir al concepto de Organismo Público de la normativa europea.

Este concepto, tradicionalmente se ha venido recogiendo en las Directivas de Contratación Pública y actualmente, lo podemos encontrar en la Directiva 2014/24/UE del Parlamento Europeo de 26 de febrero de 2014 sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (que recientemente ha sido recogida en nuestro ordenamiento jurídico mediante la nueva  Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público). Esta Directiva se define como Organismo de Derecho Público a aquella entidad que cumpla las siguientes características:

  • Haberse creado para satisfacer necesidades de interés general que no tengan carácter industrial o mercantil.
  • Tener personalidad jurídica propia.
  • Se de alguna de estas circunstancias:
    • Estar financiada mayoritariamente por una Administración Pública u otro Organismos de Derecho Público o
    • Al menos la mitad de sus miembros de su órgano de administración sean nombrado por una Administración Pública.

Desde la perspectiva de la Directiva 2014/24/UE, cuando una entidad sea un Organismo de Derecho Público, ésta se considera un poder adjudicador. Si esta Directiva la interpretamos conjuntamente con el Reglamento General de Protección de Datos, llegaríamos a esta sencilla conclusión: si una empresa pública cualquiera, es considerada un poder adjudicador, es porque se entiende que es un Organismo de Derecho Público y, por tanto, desde la perspectiva del Reglamento de Protección de Datos, debería contar con un Delegado de Protección de Datos.

Así, a la pregunta que planteaba inicialmente de si una Empresa Pública debe nombrar a un DPO, la respuesta es que si, siempre que desde la perspectiva de la contratación pública se considere un poder adjudicador.

 

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

 

Anuncios

Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Interoperabilidad y seguridad: ¿interna o externa?

Posiblemente a los lectores versados en la materia considerarán que la interoperabilidad  y  seguridad son materias consolidadas, sin que la característica relativa a sus interlocutores aporte ninguna cualidad diferencial. Ciertamente, en el ámbito de la regulación legal ambas cualidades tienen un contundente apoyo legal, tanto por los artículos 41 y 42 de la derogada LAECSP, […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica