La Autoridad Catalana de Protección de Datos (APDCAT) ya constató en su Memoria de 2022 que la gran mayoría de delegados de protección de datos (DPD) nombrados en el sector público son externos, lo que implica que, en muchos casos, han sido contratados a través de procesos de contratación pública. Ahora, a través de la Recomendación 2/2023, publicada recientemente, la APDCAT recuerda que el DPD es una figura de obligatorio nombramiento en la administración pública y que dicho nombramiento debe tener en cuenta ciertos aspectos cualitativos, como la necesidad de tener conocimientos jurídicos, especialmente en relación con la protección de datos, o la capacidad para llevar a cabo determinadas funciones de información, asesoramiento, supervisión y cooperación.
Esta recomendación surge debido a la constatación de que en muchos procesos de licitación pública de un contrato de servicios de DPD externo, solo se ha tenido en cuenta el factor precio o se ha estimado un valor de precio muy bajo, sin considerar la dedicación real y los aspectos cualitativos que debe tener necesariamente la figura del DPD y su trabajo.
De manera clara, a través de su Recomendación, la APDCAT señala a la administración pública que no puede tener en cuenta solo el precio o el criterio económico al contratar un DPD externo, buscando siempre el precio más bajo, sino que la licitación debe considerar también el perfil profesional y las funciones a desarrollar. Lo que no es aceptable es que el precio establecido no se ajuste a la realidad de la dedicación prevista y al perfil profesional mínimo y necesario. Al fin y al cabo, recordemos que la figura del DPD es fundamental para garantizar la protección de datos dentro de una organización. Por lo tanto, es imprescindible que los procesos de contratación tengan en cuenta las cualidades profesionales de la persona y no solo el precio.
Como posible respuesta a la recomendación de la APDCAT, la Generalitat ha dictado recientemente el Decreto 148/2023, de 1 de agosto, sobre las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público. Este decreto regula el régimen jurídico de las personas DPD de la Administración de la Generalitat y su sector público institucional. En primer lugar, establece la obligación de nombrar un DPD con experiencia acreditada, adscrito orgánicamente a la secretaría general de cada departamento. Además, también regula de manera específica las funciones de este DPD, su régimen de adscripción y el ámbito de actuación. El cargo está previsto que sea de libre designación.
El Decreto 148/2023 también crea la Comisión de Coordinación de Protección de Datos, que tendrá funciones de velar por la coordinación y homogeneidad en la aplicación de criterios de actuación de las personas DPD, debatir sobre aspectos de la normativa, hacer propuestas de mejora y compartir soluciones y criterios.
