Con la publicación de la Ley 2/2023, de 20 de febrero, las entidades públicas y privadas obligadas deben reforzar la cultura de cumplimiento de su organización con la implementación de un sistema interno de información que cumpla con los términos previstos en la ley.
De conformidad con el Artículo 5.1 de la Ley 2/2023, de 20 de febrero, el legislador impone la responsabilidad de implantar dicho sistema al órgano de administración u órgano de gobierno de cada entidad u organismo, previa consulta con la representación legal de las personas trabajadoras.
Sin perjuicio de esta responsabilidad, en lo que a la implantación del sistema interno de información se refiere, el mismo Artículo 5.1 prevé:
Artículo 5. Sistema interno de información.
1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley […] tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Esta atribución de responsable del tratamiento ha causado controversia entre los sujetos obligados por la Ley 2/2023, de 20 de febrero, sobre la posición jurídica que ocupan, desde la óptica de protección de datos de carácter personal, los sujetos que intervienen en la gestión y mantenimiento del sistema interno de información.
Aclaración de la AEPD
Con la Ley ya en vigor, la Agencia ha publicado el Informe nº0054/2023 de su Gabinete Jurídico, en el que da respuesta a una consulta planteada en relación con la interpretación del Artículo 5.1 de la Ley 2/2023, de 20 de febrero y la cuestión controvertida que presenta su redacción, con la designación del órgano de administración u órgano de gobierno de cada entidad u organismo obligado como Responsable del Tratamiento.
Como reconoce la propia Agencia a lo largo del referido informe, la redacción del artículo controvertido por parte del legislador responde a la propuesta que realizó la AEPD al revisar el Anteproyecto de Ley con el Informe nº0020/2022 de su Gabinete Jurídico, en cumplimiento con sus funciones de supervisión encomendadas por la LOPDGDD.
Así, a partir de las propuestas realizadas por la AEPD en el Informe nº0020/2022, el legislador modificó el redactado del Artículo 5 del Anteproyecto de Ley para incorporar la interpretación de la Agencia, según la cual determinaba:
[…] en virtud de las funciones que se le atribuyen legalmente, corresponde al órgano de administración u órgano de gobierno de cada entidad u organismo obligado ostentar la condición de «responsable del tratamiento» de los datos personales, de conformidad con lo dispuesto en la normativa sobre protección de datos personales
Finalmente vigente ya la Ley 2/2023, de 20 de febrero, las dudas que ha generado esta redacción han obligado a la AEPD a clarificar que la intención de la Agencia era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, sin que ello conllevara la atribución de otro tipo de responsabilidades para los órganos de administración o de gobierno.
De este modo, la Agencia aclara que tanto en el sector privado como en el sector público, la condición de Responsable del Tratamiento corresponderá a la entidad u organismo obligado por la ley a disponer de un sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
No se ha producido una modificación en la Ley, sin embargo, el informe permite interpretar que la condición de Responsable del Tratamiento le corresponde a la entidad u organismo obligado por Ley.