Tag: Delegado Protección de Datos

El Reglamento General de Protección de Datos (RGPD) ha creado la figura del Delegado de Protección de Datos, que constituye un garante del cumplimiento de la normativa de protección de datos en las organizaciones. El delegado de protección de datos es un especialista en protección de datos que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

Así, esta figura constituye una de las piezas clave del RGPD/LOPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, aunque la responsabilidad sobre este cumplimiento recae siempre sobre el responsable o encargado.

El RGPD y la nueva LOPD disponen que serán los responsables y encargados del tratamiento quienes deberán asignar un Delegado de Protección de Datos y enumeran los casos que debe designarse un DPO, entre los que destacamos:
a) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
b) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
c) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
d) Los establecimientos financieros de crédito.
e) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
f) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
g) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, aunque se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
h) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
i) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
j) Las empresas de seguridad privada.

El responsable y encargado del tratamiento –públicos o privados-, se ven obligados a garantizar la independencia del DPD, pues se ven obligados a designar a este sujeto en los supuestos previstos en los Reglamentos, Normativa Europea o Normativa Nacional o cuando fuere elegido de forma voluntaria.

A este respecto, hay que señalar que la independencia del DPD, que se entiende como autonomía para el desempeño de funciones, es una de las garantías básicas que establece el RGPD y que tienen que asegurar quienes lo designen. Esta autonomía debe entenderse como una garantía frente a posibles injerencias en el desarrollo de sus funciones, y está relacionada estrechamente con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos de carácter personal.

Cualquier tipo de insuficiencia en el desarrollo de las funciones del DPO implicaría vulnerar su estatuto jurídico pudiendo llegar, incluso, a vulnerar el derecho fundamental a la protección de datos personales. Por ejemplo, un error sería no proporcionar los recursos necesarios para el desarrollo de sus funciones.

El DPO no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento, dada su posición en la organización, tales como el propietario o presidente de la misma, el responsable de ficheros, el responsable del servicio médico, el responsable de recursos humanos, el responsable de marketing, el responsable de áreas de tecnología de la información, o cualquier otro puesto que desempeñe una función o tenga una posición que implique intervenir en la determinación de dichos fines y medios del tratamiento.

La normativa antes indicada establece expresamente que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos; a estos efectos, por conocimientos especializados, debe entenderse el resultado de una formación homologada, evitando el desarrollo de ciertas prácticas que pudieran ocasionar una falta de protección de datos, debido al desconocimiento de su mercado. Estos conocimientos deben ser los necesarios para identificar los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, y puede ser tanto una persona de la organización como, y muy especialmente, un profesional externo con formación debidamente homologada.

El DPD debe de formar parte de todos los análisis, debates o discusiones que tengan como materia directa o indirecta en tratamiento de datos personales en el seno de la organización. En el ejercicio de sus funciones, el DPD deberá reportar al consejo de administración u órgano equivalente de la organización, lo que requiere una línea de reporte funcional claramente identificada.

En Senex, Consejos de Buen Gobierno, contamos con certificación homologada por la ANF, Autoridad de Certificación, de acuerdo con el Esquema de la Agencia Española de Protección de Datos, por lo que podemos prestar el servicio de Delegado de Protección de Datos externo acreditando los conocimientos especializados que la normativa requiere.

Miguel Angel Blanes Pascual Socio – Director del Area de Compliance Senex, Consejos de Buen Gobierno, SL

Con la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la Protección de Datos de carácter personal entró en una nueva era en nuestro país.

La obligación de establecer un Registro de actividades del tratamiento, sustituyendo el anterior modelo de inscripción de ficheros, hace que las empresas tengan que tener en todo momento controlado el movimiento de información.

Aquí entra en juego la capacidad de los programas implementados en las empresas de adaptarse a los cambios que se vayan produciendo en la gestión de los datos. Y para que exista una adaptación eficiente y completa estos programas deben estar lo más estructurados posibles, dejando siempre espacio para la improvisación de determinados protocolos o actuaciones por circunstancias extraordinarias, como hemos podido ver en estos tiempos de la Crisis del Covid19.

Para que exista esta estructuración nosotros optamos por el modelo del Check List, que nos ayuda a articular su implantación y facilita que al cliente no le cueste ningún esfuerzo seguir los hitos de la implementación y seguimiento del Programa.

Este Check List nos ayuda a guiarnos en la generación de la documentación escrita para el cliente basándonos siempre en el Registro de Actividades.

Con esta fórmula, y tomando como inicio el Registro de Actividades, podemos trazar 3 tipos de documentos:

  1. Documentos de trabajo y desarrollo.
    En los documentos de trabajo y desarrollo englobamos todos aquellos textos requeridos por la normativa vigente, como el Análisis de riesgo de los datos o la Evaluación de encargados del tratamiento.
  2. Documentos para el día a día de las empresas.
    Aquí generaríamos todas las cláusulas, escritos y circulares de información necesarias para actualizar e informar a todos los interesados de la protección de sus datos de carácter personal.
  3. Protocolos.
    Incluimos las medidas de seguridad o la notificación de quiebras de seguridad.

Especial atención merece la formación del personal en la Protección de Datos. Al final, cuando implementas un Programa en una empresa, y aunque estés siempre disponible para la resolución de dudas o problemas que puedan surgir, la empresa tiene que interiorizar la cultura del cumplimiento, en este caso del cumplimiento en la normativa de la Protección de Datos. Sobre todo en aquellas empresas que basan sus actuaciones en interacciones como clientes, el personal tiene que estar plenamente integrado en el Programa.

Esta estructura que nos proporciona el Check List es perfecta para nuestro modelo de implementación de Programas Llave en Mano.

Además de la estructura, es de vital importancia la actualización de los Programas. No vale con generar la documentación mínima para que esté guardada en un armario o una carpeta del escritorio.

Aquí entra de nuevo la exigencia de la normativa, que en el caso concreto de la Protección de Datos exige una continua revisión del Registro de Actividades, cada vez que se produzca un cambio en el tratamiento de los datos.

La presencia del Delegado de Protección de Datos (DPD), obligatorio en los casos que establecen el RGPD que van desde operadores de juego online a notarías, se complementa con la asistencia de empresas especializadas que sirven de soporte al DPD.

El calendario de renovación de documentos, con actas de cada reunión, es recomendable establecerlo de manera ordinaria cada, como mínimo, semestre. En estas reuniones se pueden analizar los cambios en el tratamiento de la información, el funcionamiento de los protocolos o la extensión de la formación de los empleados.

La celebración de reuniones extraordinarias tiene que estar contemplada para aquellos supuesto donde se produzcan hechos que precisen medidas inmediatas.

La planificación minuciosa tanto de la implementación del Programa como de su actualización, tiene que integrarse lo máximo posible en el funcionamiento habitual de la empresa, siendo recomendable su integración en los Órganos de Cumplimiento de la empresa o Compliance Officer.

Miguel Ángel Blanes Ortuño
Responsable Área Protección de Datos
Sénex Consejos de Buen Gobierno