Una de las novedades más relevantes con la entrada en vigor del nuevo Reglamento General de Protección de Datos es la figura del Delegado de Protección de Datos, en adelante DPO. Una figura inicialmente un poco confusa que se encuentra regulada en los artículos 37 a 39 RGPD y que se ha ido perfilando tras las últimas directrices publicadas por el Grupo de Trabajo del Articulo 29*. A continuación vamos a exponer algunos de los puntos básicos entorno al DPO.
Además, la directriz remarca algunos requisitos básicos del DPO y su designación:
En primer lugar vamos a hablar de cuándo va a ser obligatorio designarlo y el artículo 37 del RGPD nos establece tres supuestos:
No obstante, en las demás organizaciones donde se traten datos y no se encuentren en ninguno de estos supuestos seguirá siendo recomendable la designación de un DPO o una persona encargado de la supervisión de los tratamientos y todo aquello vinculado a la protección de datos.- Cuando el tratamiento sea llevado a cabo por parte de una entidad pública; dejando a cargo de la normativa nacional el concepto de entidad pública. Veremos si el anteproyecto de la nueva LOPD que se prevé para marzo regula este concepto así como si contiene disposiciones específicas para la figura del DPO.
- Cuando la actividad principal de la entidad consista en operaciones que requieran monitorización regular y sistemática de datos a gran escala. Según la directriz se entiende como actividad principal aquella que se puede considerar una operación clave necesaria para alcanzar los objetivos de la entidad. Como ejemplo, nos expone que el tratamiento de datos en un hospital se puede considerar una actividad principal ya que es necesario para desarrollar su actividad y, por lo tanto, se deberá designar un DPO. En relación a gran escala, se deben considerar factores como el número de usuarios, volumen de datos, duración del tratamiento o la extensión geográfica.
- Cuando se traten a gran escala datos de categorías especiales o datos relacionados con cargos criminales y delitos.
Además, la directriz remarca algunos requisitos básicos del DPO y su designación:
- Facilidad de acceso, con lo cual se debe encontrar en una posición para una comunicación y trabajo eficiente aunque se encargue de más de una entidad, art. 37.2 RGDP. Aquí cabe mencionar que se podrá designar a un DPO para un grupo de empresas o entidades siempre y cuando se pueda garantizar dicha facilidad de acceso.
- Conocimientos en protección de datos, desde nivel de experiencia o cualidades profesionales hasta las habilidades para desarrollar su tarea, art. 37.5 RGDP.
- La posibilidad de ser contratado a través de un contrato de servicios, art. 37.6 RGDP. Es decir, el DPO podrá ser un trabajador en plantilla o un tercero a través de un contrato de servicios.
- Cuando se haya designado a un DPO se deberán publicar los datos de contacto del mismo y comunicar los detalles a la autoridad supervisora con el fin de facilitar un contacto directo y confidencial, art. 37.7 RGPD.
En relación a su actividad, el DPO deberá participar
en todo aquello relativo a la protección de datos personales desde su fase
inicial, se le deberá proporcionar los recursos necesarios para un buen
desarrollo de su actividad (tiempo, formación, material, accesos,…), garantizar
un grado suficiente de autonomía, no ser penalizado por el desarrollo de sus
tareas y evitar que entre en un posible conflicto de intereses.
Y, ¿cuáles serán sus tareas? Principalmente, monitorizar el cumplimiento del
RGDP recopilando información, analizando y comprobando los tratamientos proporcionando
también asesoramiento a la organización y su personal. También deberá asistir y dar consejo durante la
evaluación de impacto en protección de datos (DPIA) o mantener registro de las
actividades de tratamiento ejecutadas bajo su control entre otras funciones.
En resumen, con la regulación del RGPD y la clarificación de esta figura por parte del Grupo de Trabajo del artículo 29, se ha ido
perfilando esta figura para que, con la plena entrada en vigor del nuevo Reglamento en mayo de 2018, esté ya consolidada y definida para garantizar el cumplimiento
de la normativa dentro de las organizaciones en las que sea obligatorio y, de este modo, aumente previsiblemente los niveles de cumplimiento a nivel europeo.
* Nuevas Directrices del Grupo de Trabajo del Artículo 29 sobre la figura del DPO: 16/EN - WP243 del Grupo de Trabajo del Artículo 29
FORMACIÓN
Si quieres formarte como Delegado de Protección de Datos en AT Group iniciaremos en breve el Curso Universitario de Acreditación como Data Protection Officer junto a la Universidad Rey Juan Carlos. Si estás interesado contacta con nosotros o entra en el siguiente enlace para más información:
MATRÍCULA ABIERTA - Curso DPO
No hay comentarios:
Publicar un comentario