Desde Protection Report quieren compartir con nosotros esta píldora formativa sobre la figura del Delegado de Protección de Datos.
¿CONOCES LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS?
El Delegado de Protección de Datos (en Inglés Data Protection Officer o DPO) es una nueva figura que ha aparecido raíz de la entrada en vigor del Reglamento Europeo de Protección de Datos, el DPO será el elemento central de este nuevo marco jurídico para muchas organizaciones, facilitando el cumplimiento de dicha normativa.
El DPO realiza una triple función de asesor, auditor y mediador (asesora a la empresa, supervisa su cumplimiento y atiende las reclamaciones de los usuarios o de la AEPD).
¿NECESITAS NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS EN TU EMPRESA?
El Reglamento General de Protección de Datos 679/2016 (artículo 37) exige contar con un DPO en los siguientes supuestos:
- El tratamiento sea realizado por una autoridad u organismos público, a excepción de los tribunales en ejercicio de la potestad jurisdiccional.
- Las actividades principales del responsable o del encargado consistan en tratamientos que requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala, atendiendo:
– al número de interesados afectados
– al volumen de datos o la variedad de elementos de datos
– la duración, o permanencia, de los tratamientos de datos
– el alcance geográfico de la actividad de tratamiento.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales y delitos, es decir, origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos de afiliación sindical, el tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, condenas e infracciones penales o medidas de seguridad conexas…
Sin embargo la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (artículo 34) establece imprescindible contar con un DPO en los siguientes supuestos:
-Colegios profesionales y sus consejos generales.
-Centros docentes, incluyendo Universidades públicas y privadas.
-Centros sanitarios. No se incluyen profesionales de la salud que ejerzan a título individual, aunque sí están obligados a guardar el historial clínico de los pacientes.
-Empresas que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten datos personales a gran escala de forma sistemática.
-Prestadores de servicios de la información que elaboren perfiles de usuarios a gran escala.
-Entidades de ordenación, supervisión y solvencia de entidades de crédito.
-Establecimientos financieros de crédito.
-Aseguradoras y reaseguradoras.
-Empresas que ofrecen servicios de inversión, reguladas por la legislación del Mercado de Valores.
-Distribuidores y comercializadores de energía eléctrica y gas natural.
-Entidades responsables de ficheros relacionados con la solvencia patrimonial, prevención del fraude, blanqueo de capitales o financiación del terrorismo.
-Compañías que desarrollen actividades de publicidad y prospección comercial, cuando realicen evaluaciones de perfiles de usuarios y lleven a cabo tratamientos basados en las preferencias de los mismos.
-Entidades que emitan informes comerciales sobre personas físicas.
-Operadores de juegos y apuestas que desarrollen su actividad a través de canales electrónicos, informáticos, telemáticos e interactivos.
-Empresas de seguridad privada.
-Federaciones deportivas que traten datos personales de menores.
¿PUEDE EXISTIR UN ÚNICO DPO PARA VARIOS RESPONSABLES?
Se permite a un grupo empresarial designar un único DPO, siempre que este “sea fácilmente accesible desde cada establecimiento”.
El DPO debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control, en el idioma o idiomas utilizados por las autoridades de control y los interesados afectados.
¿QUE PASA CON EL RESTO DE EMPRESAS QUE NO TIENEN OBLIGACIÓN DE DESIGNAR UN DELEGADO DE PROTECCION DE DATOS?
Si tu empresa o negocio no se encuentra dentro de las categorías anteriores no es obligatoria la designación del DPO, aunque sí es recomendable en muchos casos para asegurar el correcto tratamiento de la información y cumplimiento de la Normativa sobre Protección de Datos.
¿QUIÉN NOMBRA AL DELEGADO DE PROTECCIÓN DE DATOS?
Al DPO lo nombra la propia empresa.
Dicha designación se aplica tanto a los Responsables del tratamiento como a los Encargados del tratamiento, en función de quién cumpla los criterios de designación obligatoria, en algunos casos solo el Responsable o solo el Encargado deben designar un DPO, y en otros casos tanto el responsable como su encargado deben designar respectivos DPO (que deberán cooperar entre sí).
Los datos de contacto del DPO datos deben ser comunicados a la autoridad de control (Agencia Española de Protección de datos o sus homónimas autonómicas), de tal forma, que éste será identificado por la Agencia y actuará como interlocutor entre la AEPD y el responsable o encargado del tratamiento.
¿CUÁLES SON LAS CUALIDADES PROFESIONALES QUE DEBERÍA TENER UN DPO?
El DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.
El nivel de conocimientos especializados necesario se debe determinar en función de las operaciones de tratamiento de datos realizadas y de la protección exigida para los datos personales tratados, puesto que cuando la actividad de tratamiento de los datos es especialmente compleja o cuando implica una gran cantidad de datos sensibles, el DPO podría necesitar un nivel mayor de conocimientos y apoyo.
Las competencias y conocimientos pertinentes incluyen:
- Conocimientos especializados sobre la legislación y prácticas en materia de protección de datos y una profunda compresión de esta Normativa y conocimientos informáticos.
- Capacidad para desempeñar sus funciones y fomentar una cultura de protección de datos dentro de la organización.
- Experiencia práctica en materia de protección de datos.
- Conocimiento sobre el sector empresarial y organización corporativa interna.
¿PUEDE SER DPO EL GERENTE DE LA ORGANIZACIÓN?
El DPO realizará sus tareas con el suficiente grado de autonomía e independencia dentro de su organización, por lo que no podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones.
Las funciones y cometidos de un DPO no podrán entrar en conflicto de intereses con otros cargos dentro de la organización como puestos de alta dirección (tales como director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI) pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento.
¿EL DELEGADO DE PROTECCIÓN DE DATOS PUEDE SER EXTERNO A LA ORGANIZACIÓN?
La función del DPO puede ser externa ejerciéndose en el marco de un contrato de servicios suscrito con una persona física o con una entidad ajena a la organización del Responsable o del Encargado del tratamiento, siempre que cada miembro de la organización que ejerza las funciones de DPO cumpla todos los requisitos aplicables y no tenga un conflicto de intereses.
Dicho contrato de servicios no podrá ser rescindido de forma injustificada motivada por las actividades del DPO el miembro de la organización que realice las funciones del DPD no podrá destituirse de forma improcedente.
¿CUALES SON SUS FUNCIONES PRINCIPALES?
Entre sus funciones principales destacan las siguientes:
-Informar y asesorar a los responsables y encargados del tratamiento de datos de sus obligaciones.
-Supervisar el cumplimiento del RGPD, asignar responsabilidades o concienciar y formar al personal, realizar auditorías, etc.
-Cooperar con las autoridades de control, las Agencias de Protección de Datos y actuar como punto de contacto para cualquier consulta.
-También será la referencia para los titulares de los datos o afectados por su tratamiento, para el ejercicio de sus derechos o reclamaciones.
¿CUÁL ES LA RESPONSABILIDAD DE UN DELEGADO DE PROTECCIÓN DE DATOS?
El DPO no es personalmente responsable en caso de incumplimiento de la Normativa sobre Protección de Datos, sino que el cumplimiento de las normas sobre protección de datos es responsabilidad del Responsable o del Encargado del tratamiento, su función de supervisar la observancia no significa que el DPO sea personalmente responsable de cualquier caso de inobservancia.
Es el Responsable y el Encargado y no el DPO quien está obligado a aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD y LOPDGDD.