#SistemaInternDInformació

En data 20 de setembre de 2023 es va presentar una reclamació davant l’AEPD pels delegats sindicals del Servei de Prevenció i Extinció d’Incendis (SPEIS) de la Diputació d’Osca, en la qual es denunciava que s’havia pogut accedir a una carpeta compartida utilitzada pel personal administratiu del SPEIS, la qual contenia informació confidencial.

Aquest procediment va portar a tractar un altre assumpte, ja que, a més de la presumpta bretxa de seguretat, es va descobrir que el Delegat de Protecció de Dades (DPD) de la Diputació d’Osca també exercia com a responsable del Sistema Intern d’Informació. Això va conduir a plantejar la idoneïtat de la concurrència d’ambdues funcions en una mateixa persona.

Sobre el primer incident, l’AEPD va resoldre que estimava la vulneració de l’article 5.1.f) del RGPD per l’error de la Diputació en preservar la confidencialitat i la integritat de les dades de les quals era responsable.

Respecte a la segona situació, l’AEPD va valorar que, si bé és cert que el DPD pot exercir altres funcions a més de les assignades al seu càrrec, cal garantir que això no donarà lloc a un conflicte d’interès, de conformitat amb l’art. 38.6 del RGPD. Procedim a analitzar aquesta interpretació:

• El DPD pot exercir altres funcions, sempre que no donin lloc a conflictes d’interessos, circumstància que ha de garantir el responsable del tractament.
• El DPD actua com a assessor i supervisor intern, de manera que no pot ser-ho algú que tingui altres funcions en les quals pugui decidir sobre l’existència de tractaments de dades o sobre com es tracten les dades.
• Per la seva part, el responsable del sistema intern d’informació haurà de desenvolupar les seves funcions de forma independent i autònoma respecte de la resta dels òrgans de l’entitat i respon del correcte funcionament del sistema (art. 8.4 i 9.1 de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció); és a dir, pot tenir accés a les dades personals contingudes en el sistema.
• També s’estableix que tant el responsable del sistema com el DPD poden tenir accés a les dades del Sistema Intern d’Informació (art. 32.1 de la Llei 2/2023); és a dir, s’entén que són dues figures diferents.
• Per tant, es conclou que si una mateixa persona té diferents interessos es pot donar lloc a conflictes d’interès, circumstància que cal evitar perquè puguin realitzar les seves funcions amb les garanties degudes.

Finalment, l’AEPD va resoldre en data 2 de febrer de 2025 la consulta prèvia de la Diputació, concloent que no és possible assignar les funcions de responsable del sistema intern d’informació al DPD. Davant d’això, la Diputació va procedir a substituir el responsable del sistema intern d’informació.

En definitiva, davant el risc de possibles conflictes d’interès, les funcions de DPD i de responsable del sistema intern d’informació no haurien de recaure en una mateixa persona.