El caso es que me resistí todo lo posible. Apenas llevaba unas pocas horas en el curso que imparte AENOR de Delegado de Protección de Datos (DPO) cuando me informan desde Unión Profesional que sí, que el ENS aplica a los Colegios Profesionales. Corrí a buscar una segunda opinión en los profesionales que imparten el curso haciéndoles la siguiente pregunta:
¿Están los colegios profesionales, a la luz de la nueva Ley LOPDGDD, obligados a aplicar el Esquema Nacional de seguridad?
Respecto a la duda que planteas, te contesto a continuación, según nuestro leal saber y entender.
La Ley 2/1974, de 13 de febrero, sobre Colegios Profesional establece en su artículo 1 que los colegios profesionales son Corporaciones de derecho público. Por lo tanto, los colegios profesionales están sometidos al régimen aplicable a determinadas categorías de responsables o encargados que la LOPDyGDD recoge en su artículo 77. Concretamente, el artículo 77.1.g) LOPDyGDD somete a este régimen a “las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público”. Es decir, se aplica el mencionado régimen a los tratamientos que realicen los colegios profesionales en el ejercicio de potestades de derecho público. Del artículo 5 de la Ley 39/2015, de 1 de octubre, de Régimen Jurídico del Sector Público puede inferirse que las “potestades de derecho público” son aquellas funciones que tengan efectos jurídicos frente a terceros, o cuya actuación tenga carácter preceptivo” (por ejemplo, registro de personas que se colegian).
Visto que no hay escapatoria y que habrá que adaptarse comienzo la lectura de los apuntes que me aportan en el curso y que señalan en su primera página la finalidad del ENS «la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios«.
Desde ahora soy asiduo visitante al espacio que el Centro Criptológico Nacional (CCN) dedica al ENS, un lugar de obligado paso y muy necesario para guiarme en el día a día de esta nueva andadura.
El próximo año intentaré asistir al evento que organiza el CCN y del que he tomado el vídeo que figura en cabecera de este post, no tiene desperdicio y hay que verlo de principio a fin.
En el vídeo se hace alusión a un informe de noviembre de 2018 elaborado por la Agencia Española de Protección de Datos (AEPD) donde se habla de organizaciones de pequeño tamaño donde las incompatibilidades para cubrir distintos roles se difuminan y la propia agencia dice: «Solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como delegado de protección de datos de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD.»