#BretxaDeSeguretat

En fecha 20 de septiembre de 2023 se presentó una reclamación ante la AEPD por los delegados sindicales del Servicio de Prevención y Extinción de incendios (SPEIS) de la Diputación de Huesca en la que se denunciaba que se pudo acceder a una carpeta compartida utilizada por el personal administrativo del SPEIS, la cual contenía información confidencial.

Este procedimiento llevó a tratar otro asunto pues, además de la presunta brecha de seguridad, se descubrió que el Delegado de Protección de Datos (DPD) de la Diputación de Huesca también ejercía como responsable del Sistema interno de información. Esto condujo a que se planteara la idoneidad de la concurrencia de ambas funciones en la misma persona.

Sobre el primer incidente, la AEPD resolvió que estimaba la vulneración del art. 5.1.f) del RGPD por el fallo de la Diputación en preservar confidencialidad e integridad de datos de los que era responsable.

Respeto a la segunda situación, la AEPD valoró que, si bien es cierto que el DPD puede desempeñar otras funciones además de las asignadas para su cargo, hay que garantizar que no dará lugar a un conflicto de interés, de conformidad con el art. 38.6 del RGPD. Procedemos a analizar esta interpretación.

• El DPD puede ejercer otras funciones, siempre que no den lugar a conflictos de intereses, circunstancia que debe garantizar el responsable del tratamiento.
• El DPD actúa como asesor y supervisor interno, de manera que no puede serlo alguien que tenga otras funciones en las que pueda decidir sobre la existencia de tratamientos de datos o sobre cómo se tratan los datos.
• Por su parte, el responsable del sistema interno de información deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad y responde del correcto funcionamiento del sistema (art. 8.4 y 9.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción); es decir, puede tener acceso a los datos personales contenidos en el sistema.
• También se establece que tanto el responsable del sistema como el DPD pueden tener acceso a los datos del Sistema interno de información (art. 32.1 Ley 2/2023); es decir, entiende que son dos figuras distintas.
• Por lo tanto, se concluye que si la misma persona tiene distintos intereses puede dar lugar a conflictos de interés, circunstancia que hay que evitar para que puedan realizar sus funciones con las garantías debidas.

Finalmente, la AEPD resolvió en fecha 2 de febrero de 2025 la consulta previa de la Diputación, concluyendo que no es posible asignar funciones de responsable del sistema interno de información al DPD. Ante esto, la Diputación procedió a sustituir el responsable del sistema interno de información.

En definitiva, ante el riesgo de posibles conflictos de interés, la responsabilidad de DPD y responsable del sistema interno de información no deberían recaer en la misma persona.