La Agencia Española de Protección de Datos (AEPD) ha presentado un conjunto de recomendaciones para reforzar el cumplimiento de la normativa de protección de datos en la Administración General del Estado (AGE). El documento que puede consultarse aquí, es el resultado de un amplio proceso de colaboración con delegados de protección de datos (DPD), ministerios y organismos públicos, con el objetivo de impulsar modelos de cumplimiento más homogéneos, eficaces y adaptados a los nuevos retos digitales.
Estas orientaciones no crean nuevas obligaciones legales, pero sí establecen buenas prácticas que pueden convertirse en una referencia para todas las Administraciones Públicas que buscan fortalecer su gobernanza en materia de privacidad y protección de datos.
La protección de datos en el ámbito de las administraciones
Uno de los mensajes más relevantes del documento es que la protección de datos deja de entenderse como una cuestión exclusivamente jurídica para convertirse en un componente esencial de la buena administración y de la calidad de los servicios públicos. La AEPD insiste en que la privacidad debe integrarse de manera transversal en la elaboración normativa, la contratación pública, los procesos administrativos, la transformación digital y el diseño de nuevos servicios.
Esta visión refuerza el principio de responsabilidad proactiva del RGPD, recordando que la responsabilidad del cumplimiento sigue recayendo en el responsable del tratamiento y no en el delegado de protección de datos. El DPO actúa como figura de asesoramiento, supervisión y apoyo especializado, pero no sustituye las obligaciones de la organización.
Un papel más estratégico para el Delegado de Protección de Datos
Las recomendaciones destacan la creciente relevancia del Delegado de Protección de Datos dentro de las estructuras públicas. Tras varios años de aplicación del RGPD, la figura se ha consolidado como un activo estratégico para garantizar el cumplimiento normativo y anticipar riesgos.
La AEPD considera especialmente importante que el DPO disponga de una posición organizativa adecuada, con capacidad real de interlocución con los órganos directivos y participación en los procesos de toma de decisiones. También subraya la necesidad de garantizar la independencia funcional, evitar conflictos de interés y dotar a esta figura de recursos suficientes para desarrollar sus funciones.
Además, el organismo apuesta por modelos más estables, como oficinas o comités de protección de datos, que permitan asegurar la continuidad del conocimiento y de las funciones de supervisión independientemente de los cambios de personal.
La importancia de una regulación clara
Otro aspecto destacado es la necesidad de definir de forma precisa los procedimientos internos relacionados con la protección de datos. La AEPD observa que los organismos más maduros suelen disponer de políticas internas, protocolos y procedimientos que regulan la participación del DPO en actividades clave como:
- Los registros de actividades de tratamiento.
- Los análisis de riesgos.
- Las evaluaciones de impacto.
- Los procesos de contratación pública.
- La elaboración de normativa con impacto sobre datos personales.
La Agencia considera que estas políticas aportan seguridad jurídica, facilitan la intervención temprana del delegado y mejoran la integración de la privacidad en la actividad administrativa diaria.
Protección de datos desde el diseño normativo
Las nuevas recomendaciones prestan una atención especial a la elaboración de normas y disposiciones administrativas. Según la AEPD, las regulaciones son más sólidas cuando las implicaciones sobre la protección de datos se analizan desde las primeras fases de su desarrollo.
Por ello, se recomienda identificar tempranamente los tratamientos de datos personales que una nueva norma puede generar o modificar, incorporar la participación del DPD cuando resulte necesario y aprovechar las herramientas y guías elaboradas por la propia Agencia. Este enfoque permite aplicar de forma efectiva el principio de protección de datos desde el diseño y evitar conflictos normativos posteriores.
Formación en el sector público
La transformación digital está incrementando la complejidad de los tratamientos de datos dentro del sector público. Como consecuencia, la AEPD considera imprescindible reforzar la capacitación continua de los delegados y de todos los profesionales implicados en el tratamiento de información personal.
Aunque tradicionalmente los perfiles jurídicos han predominado entre los DPO, el organismo destaca la creciente necesidad de incorporar conocimientos tecnológicos relacionados con seguridad de la información, gestión de riesgos, inteligencia artificial y transformación digital. La protección de datos requiere cada vez más equipos multidisciplinares capaces de afrontar desafíos tanto legales como tecnológicos.
La inteligencia artificial se convierte en una prioridad
Uno de los apartados más novedosos del documento aborda la implantación de sistemas de inteligencia artificial en las Administraciones Públicas. La AEPD considera que la IA no debe entenderse únicamente como una herramienta tecnológica, sino como un proceso de transformación organizativa que requiere liderazgo, formación y mecanismos específicos de gobernanza.
La Agencia recomienda que los principios de protección de datos se incorporen desde las primeras fases de diseño, desarrollo y utilización de estas tecnologías. Además, destaca el papel que pueden desempeñar los DPO en los futuros comités de inteligencia artificial o seguridad, aportando una visión especializada sobre los riesgos para los derechos fundamentales y para las propias organizaciones.
El documento también alerta sobre riesgos emergentes más allá de la privacidad, como la dependencia excesiva de herramientas de IA, la pérdida de conocimiento interno o las posibles fugas de información corporativa.
Recomendaciones sobre cumplimiento normativo
Las recomendaciones concluyen con una idea clara: el cumplimiento de la normativa de protección de datos no puede recaer únicamente en el delegado o en los departamentos especializados. Debe formar parte de la organización de toda la Administración.
Para ello, la AEPD apuesta por reforzar la sensibilización, la coordinación entre áreas jurídicas, tecnológicas y de seguridad, así como por promover mecanismos que permitan detectar riesgos desde las fases iniciales de cualquier proyecto. El objetivo final es avanzar hacia un modelo preventivo que integre la protección de datos de forma natural en la gestión pública.
Guía de la AEPD sobre protección de datos en Administraciones Públicas.