Blog

La Agencia Española de Protección de Datos (AEPD) se pronuncia sobre la compatibilidad entre las figuras de Delegado de Protección de Datos y Responsable de Seguridad

El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha emitido recientemente un informe sobre la posible compatibilidad -en la misma persona u órgano-  de las figuras de delegado de protección de datos (DPD), al que se refiere el Reglamento General de Protección de Datos, y de responsable de seguridad de la información (RSEG) del Esquema Nacional de Seguridad (ENS).

El informe aborda la diferencia sustantiva y competencial entre el ámbito de la seguridad de la información y el de la protección de datos de carácter personal, analizando las funciones de ambas figuras y exponiendo distintas razones por las que deben diferenciarse.

Por un lado, la seguridad de la información engloba el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, la integridad y la disponibilidad de la información y los datos importantes para cualquier organización. En el ámbito de las Administraciones Públicas, el Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en lo relacionado con la Administración Electrónica, siendo los órganos competentes el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad (INCIBE) y el Ministerio de Defensa.

Por otro, la protección de datos de carácter personal de las personas físicas se conforma como un derecho fundamental con base en el artículo 18.4 de la Constitución Española lo que la sitúa en el máximo nivel de protección jurídica, además, está regulada en la actualidad por la normativa comunitaria a través del nuevo Reglamento General de Protección de Datos (RGPD), que le otorga un ámbito de protección más extenso que el que goza la seguridad de los datos personales.

De esta manera, el Gabinete de la AEPD considera que las competencias atribuibles a ambas figuras, DPD y RSEG, difieren en base a los siguientes razonamientos:

1) El principio de independencia del DPD tiene un ámbito más restrictivo que el que tiene el RSEG en el ámbito del ENS.

2) El DPD y el RSEG realizan funciones de asesoramiento distintas en cuanto a sus principios y a su alcance, correspondiéndole en exclusiva y en última instancia al RSEG decidir el modo en que van a ser tratados los datos. Sin embargo, el DPD no podrá decidir sino asesorar sobre el modo en el que los datos serán tratados.

3) El RSEG actúa con el fin de garantizar la seguridad de la información y las funciones del DPD deben encaminarse a garantizar los derechos y libertades de las personas en los tratamientos que lleva a cabo el RSEG.

4) Deben distinguirse ambas figuras ya que, de no hacerse tal distinción, supondría dar por hecho que no podría darse un conflicto de intereses o que existieran riesgos para la independencia del DPD.

En conclusión, el Gabinete considera que con carácter general deben separarse ambas figuras sin que, por ende, sus nombramientos puedan recaer en el mismo órgano o persona salvo que, de manera excepcional, pueda admitirse dicha convergencia en las organizaciones que debido a su tamaño y recursos no puedan cumplir con tal separación, pero en este último caso siempre previa realización de una evaluación.