RGPD Q&A: el Delegado de Protección de Datos – Parte I

En este artículo trataremos de responder a las cuestiones sobre el Reglamento General de Protección de Datos Europeo (RGPD) planteadas en nuestros seminarios web. En esta ocasión, nos centramos en el Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), figura sobre la que responderemos teniendo siempre en mente el RGPD, así como el proyecto de Ley Orgánica de Protección de Datos de carácter personal (futura LOPD). Ambas serán aplicables a partir del próximo 25 de mayo de 2018.

P: ¿Qué es el Delegado de Protección de Datos y cuáles son sus funciones y características principales?

R: El DPD (o DPO) es aquella persona cuyas responsabilidades son, entre otras:

Informar y asesorar al responsable o encargado del tratamiento relativas al RGPD u otras leyes de protección de datos de la UE o Estados miembros.

Supervisar el cumplimiento del RGPD u otras disposiciones de protección de datos de la UE o Estados miembros, prestando particular atención a la implementación de la protección de datos desde el diseño y por defecto.

Supervisar la aplicación y cumplimiento de las políticas de protección de datos.

Supervisar el proceso de notificación y comunicación de quiebras de seguridad.

Concienciar, sensibilizar y formar al responsable y encargado del tratamiento, y especialmente a aquellos empleados que participen en las actividades de tratamiento y auditorias correspondientes.

Asesorar sobre las Evaluaciones relativas a la Protección de Datos (EIPD) y supervisar su aplicación de conformidad con el artículo 35.

Atender a los interesados en lo relativo a todas las cuestiones de protección de datos y al ejercicio de sus derechos.

Cooperar con la autoridad de control correspondiente y supervisar la respuesta a las solicitudes de esta, así como la conformidad del tratamiento antes de la realización de una consulta.

Actuar como punto de contacto entre el responsable o encargado, los interesados y las autoridades de control.

• Velar por la confidencialidad en lo que respecta al desempeño de sus funciones.

Esto quiere decir que el DPD también participaría de forma activa —tanto desde un punto de vista técnico como organizativo— en el proceso de creación e implantación de los procesos y mecanismos necesarios para garantizar que el responsable o encargado está preparado para desempeñar las responsabilidades y obligaciones que le atañen.

El DPD es una figura muy protegida, con el fin de asegurar que se encuentra en una buena posición a la hora de desempeñar sus funciones. De este modo, cabe mencionar que tanto responsables como encargados deberán garantizar que el DPD participa adecuadamente y en tiempo oportuno en las cuestiones relativas a privacidad y protección de datos personales.

Asimismo, será respaldado y provisto de los recursos necesarios, tanto para el desempeño de sus funciones como para el mantenimiento de sus conocimientos especializados. Además, el DPD no recibirá instrucciones para el desempeño de sus funciones ni será destituido o sancionado por la realización de las mismas, rindiendo cuentas al más alto nivel jerárquico dentro de la organización.

Es imperativo que no exista conflicto de intereses con otras funciones. Es decir, el DPD podrá llevar a cabo otras funciones siempre y cuando no se interpongan en el buen hacer del DPD. Por último, el responsable o encargado deberá nombrar al DPD atendiendo a sus cualidades y conocimientos de derecho y en particular en materia de privacidad y protección de datos, lo cual no exige que sea jurista, pero sí que tenga un conocimiento extenso en la materia que nos ocupa.

P: ¿Qué tipos de organizaciones necesitan un DPD? ¿Puedes darnos algún ejemplo de cómo se prevé que se dé en la práctica?

R: El RGPD establece que el Delegado de Protección de Datos será de obligatorio nombramiento siempre que:

• el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

• las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,

• las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

El proyecto de Ley Orgánica de Protección de Datos de carácter personal va más allá en su artículo 34.1 y nombra entidades específicas que deberán contar con los servicios de un DPD.

Hay que tener en cuenta que aquellas empresas que no estén obligadas a cumplir con este requisito podrán hacerlo de manera voluntaria, quedando el DPO siempre sometido al régimen establecido en el RGPD y LOPD.

P: En cuanto a datos sensibles, ¿son las facturas de servicios, carné de conducir y los detalles del pasaporte, datos sensibles? ¿Cuál sería la función del DPD respecto a esto?

R: Primero debemos aclarar qué son los datos sensibles que, a partir de ahora, pasan a ser llamados ‘categorías especiales de datos personales’ bajo el RGPD. Estos serán aquellos que “que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.”

En este sentido, una factura de servicios, el carné de conducir o el pasaporte incluyen tipos de datos personales, ya que a través de ellos podemos identificar al individuo, directa o indirectamente. Cabe recordar que las categorías especiales de datos personales no dejan de ser datos personales, solo que tienen una consideración especial y, como tal, están sujetos a requisitos legales más estrictos.

La función del DPD en este caso sería supervisar y asesorar sobre las evaluaciones de impacto relativa a la protección de datos (EIPD) o Data Protection Impact Assessment (DPIA), así como monitorizar la implementación de los controles técnicos y organizativos necesarios para asegurar el cumplimiento normativo con el Reglamento, y cuya naturaleza y tipo vendrán dados como resultado del análisis del riesgo y plan de mitigación que, a su vez, son los núcleos fundamentales de una gestión efectiva del riesgo para la privacidad del individuo.

Es muy posible que, dada la falta de profesionales en esta materia, el Delegado de Protección de Datos se vea en la tesitura de llevar a cabo las EIPD, lo cual podría dificultar su tarea en otros aspectos, ya que le restará tiempo para cumplir con las obligaciones propias del DPD.

Si te ha interesado este artículo, no te preocupes ya que seguiremos hablando del Delegado de Protección de Datos en próximos posts. Mientras tanto, te recomendamos que le eches un vistazo a nuestro curso certificado presencial.

Conoce todo sobre el RGPD y el DPO aquí >>

 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.