Cargando...
Estás aquí:  Inicio  >  Opinión  >  Gestión  >  Artículo actual

El papel del delegado de Protección de Datos

Por   /   4 octubre, 2018  /   Sin Comentarios

Lucía Caro, de Gaona AbogadosPor Lucía Caro, Abogada del despacho Gaona Abogados y especializada en Derecho de las Nuevas Tecnologías.

 

La figura del delegado para la Protección de Datos (DPD) es una de las muchas e importantes novedades del Reglamento General de Protección de Datos (RGPD). Su relevancia viene determinada por las labores que el mismo tiene encomendadas, ya que de forma genérica viene a convertirse en el garante del cumplimiento del RGPD y de la protección de los datos de carácter personal dentro de las organizaciones que cuenten con él.

Tal y como expone el grupo de trabajo del artículo 29, el DPD juega un papel esencial en la cultura de la protección de datos dentro de la organización y ayuda a implementar los elementos esenciales del RGPD tales como: los principios de la protección de datos; los derechos de los propietarios de los datos; la protección de datos desde el diseño; el registro de las actividades de tratamiento; la seguridad en el tratamiento; y la notificación y comunicación de las brechas de seguridad.

No obstante, debemos matizar que la imposición de contar con un DPD, según expone la regulación europea, queda limitada a determinados supuestos: en entidades y organismos públicos; para responsables de tratamiento que traten categorías especiales de datos a larga escala; y para responsables de tratamiento que monitoricen de forma continuada datos de carácter personal. No obstante, el Reglamento, y por extensión las entidades garantes del cumplimiento del mismo, como la Agencia de Protección de Datos, valoran muy positivamente a aquellas organizaciones que, fuera de estos supuestos, deciden designar a un DPD.

En cualquier caso, si una vez analizada la organización, el responsable de los datos llega a la conclusión de la necesidad de contar con un DPD, ya sea por imposición legal o por voluntad, se debe tener en cuenta que esta figura debe cumplir con ciertos requisitos, pues en caso contrario se entenderá que la misma no puede cumplir con las funciones que le son asignadas y el resultado será el mismo que de no haber nombrado a DPD ninguno. Así, todo DPD debe cumplir con las siguientes características:

  • Nivel de especialización.
  • Cualidades profesionales y conocimiento profundo del RGPD y de la actividad que desempeña el responsable.
  • Habilidad para llevar a cabo la tarea. En este sentido, se tendrán en cuenta tanto a las cualidades personales y conocimientos como a su posición dentro de la organización. Y desde luego, el DPD debe ser íntegro en su labor y mantener un alto estándar de ética profesional.

Además, otra de las responsabilidades del responsable de los Datos en lo que respecta a la designación del DPD es asegurar que el mismo está involucrado de manera adecuada en la materia y en todos los asuntos relativos a la protección de los datos.

Para ello el DPD debe contar con el apoyo de la organización. Y en este sentido, la entidad debe de proveer los recursos necesarios para que el DPD pueda desarrollar su tarea, además de proveer acceso a los datos de carácter personal y a las operaciones de procesamiento, así como estar comprometido a mantener su nivel de conocimiento en la materia. En concreto, el Grupo de Trabajado del artículo 29 expone que deben tenerse en cuenta las siguientes consideraciones:

  • El DPD debe contar con el apoyo activo de la organización, en las funciones desarrolladas por él, a nivel del comité directivo o consejo de administración.
  • El DPD debe contar con suficiente tiempo para completar sus actividades. A este respecto, es particularmente importante si el DPD es nombrado a tiempo parcial, compartiendo sus funciones de delegado como un complemento respecto a las propias de su trabajo en la organización, que la organización asegure que el DPD cuenta con suficiente tiempo durante su jornada para realizar las labores de DPD, pues en caso contrario estas pueden ser dadas de lado (para ello, es buena idea establecer un porcentaje de tiempo a destinar a las labores de DPD). El DPD también deberá desarrollar un plan de trabajo donde se recojan las actividades a desarrollar como DPD.

Lo cierto es que el DPD debe ser considerado como un compañero de discusión dentro de la organización y parte de los grupos de trabajo que ocupen una posición en el tratamiento de los datos de la organización.

Así, la organización debe asegurarse que:

  • El DPO participa en las reuniones de los mandos medios y altos de la organización.
  • Su presencia es requerida previa a la toma de las decisiones que involucren temas de protección de datos. Y desde luego toda la información debe pasarse al DPD de manera oportuna, permitiéndole proveer el asesoramiento adecuado.
  • A la opinión del DPD se le deberá dar el debido peso, y en caso de desacuerdo se debe documentar los motivos en que se fundamenta ello.
  • El DPD debe ser consultado siempre que haya una brecha de seguridad.
  • Cuando sea apropiado, el responsable deberá realizar guías de protección de datos para la organización y el DPD.
  • El DPD debe estar capacitado para realizar sus funciones de forma independiente. En este sentido, el Reglamento exige que el DPD, tanto si es un empleado como si no, debe estar en una posición que le permita realizar sus tareas con total independencia. Además, la autonomía del DPD supone que este tendrá poder en la toma de decisiones.
  • Si el responsable toma una decisión que contradice el RGPD y la opinión del DPD, éste tendrá derecho a realizar un voto particular sobre la misma donde exponga su opinión.
  • El DPD no podrá ser despedido o penalizado por el desarrollo de su función por el responsable.
  • El puesto ocupado por el DPD debe ser estable en el tiempo.
  • El DPD podrá realizar otras tareas dentro de la organización más allá de su labor como DPD, siempre que estas tareas y obligaciones no resulten en un conflicto de intereses.

Tareas del DPD

En el desarrollo de su actividad, el DPD debe prestar especial atención al tratamiento de datos que conlleve un alto riego, teniendo en cuenta la naturaleza, Delegado de protección de datos, de Pixabayla finalidad el contexto y el propósito de dicho procesamiento.

En esa línea, las funciones mínimas asignada por el RGPD al DPD son:

1.) Controlar el cumplimiento del RGPD. El DPD debe ayudar al responsable en la monitorización del cumplimiento con esta regulación.

2.) Recopilar información para identificar las actividades de procesamiento y analizar y chequear el cumplimiento con las actividades de procesamiento con el Reglamento.

3.) Informar, asesorar y elaborar recomendaciones al responsable en materia de protección de datos.

4.) El DPD deberá cooperar en todo momento con la autoridad de control cuando sea necesario o requerido.

5.) El DPD debe ayudar al responsable en la realización de la evolución de impacto y supervisar su aplicación.

6.) El DPD debe mantener una relación de las actividades de tratamiento que se llevan a cabo bajo su responsabilidad y bajo la actividad desarrollada por el responsable.

7.) El DPD deberá controlar el adecuado cumplimiento de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades realizado al personal de la organización.

8.) Controlar que el nivel de concienciación y formación del personal que participa en las operaciones de tratamiento es el adecuado.

9.) Controlar la efectiva realización de las auditorías correspondientes.

10.) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.

Además, estas funciones se podrán ver aumentadas dependiendo de la organización y del responsable o encargado del tratamiento.

No obstante, el reglamento deja claro que, aunque el DPD es la figura encargada de realizar el seguimiento del cumplimiento de la normativa, no conviene olvidar que el responsable de este cumplimiento, y por tanto quien responde en caso de incumplimiento, será el responsable o el encargado del tratamiento.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *