Sabemos que las Administraciones Públicas deben cumplir con los dispuesto por la normativa de protección de datos en general, como, por ejemplo, la designación obligatoria de un DPO según el RGPD, y de manera adicional con normas concretas como el Esquema Nacional de Seguridad (ENS) o el Esquema Nacional de Interoperabilidad (ENI), entre otros; pero, ¿qué pasa con los entes públicos empresariales como Adif o Enaire, o las Sociedades Mercantiles Estatales como Renfe o Aena que navegan entre el ámbito público y privado?
Se consideran dependientes de la Administración General del Estado, por lo que deberán cumplir con todos los requerimientos específicos para las AAPP en materia de protección de datos como el ENS o ENI – Artículo 84.1, apartado a) – Ley 40/2015 (Régimen jurídico del sector público):
“a) los organismos públicos vinculados o dependientes de la Administración General del Estado, los cuales se clasifican en:
1.º Organismos autónomos.
2.º Entidades Públicas Empresariales.
b) Las autoridades administrativas independientes.
c) Las sociedades mercantiles estatales.
d) Los consorcios.
e) Las fundaciones del sector público.
f) Los fondos sin personalidad jurídica.
g) Las universidades públicas no transferidas.”
Con la salvedad que nos recuerda el ENS en su artículo 2 (remite al art 2.2 de la derogada 11/2007): “no será de aplicación a las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.”
En definitiva y a modo de conclusión, deberán cumplir con lo dispuestos en materia de protección de datos para las AAPP, salvo en aquellas situaciones en las que desarrollen actividades de derecho privado.