Nuevas obligaciones en materia de Protección de Datos bajo el Reglamento (UE) 2016/679 DE 27 de abril de 2016
El 25 de mayo está próximo y, a partir de esta fecha, las empresas tendrán que aplicar el nuevo Reglamento Europeo de Protección de Datos (RGPD). Una de las novedades que trae el nuevo Reglamento, es la figura del Delegado de Protección de Datos (DPD). En las siguientes líneas, trataré de explicar en qué consiste esta figura, cuáles son sus funciones y características y qué tipo de empresas la necesitan.
Designación de un Delegado de Protección de Datos (DPD)
Una de las nuevas obligaciones que surgen para los responsables y encargados del tratamiento de datos personales es la designación del denominado Delegado de Protección de Datos (DPD).
La incorporación de esta nueva figura tiene su justificación en el principio de accountability que gobierna el Reglamento Europeo de Protección de Datos (RGPD) y que exige que el tratamiento de datos se lleve a cabo bajo un principio de control, rendición de cuentas y diligencia debida.
De este modo, el artículo 37 del RGPD consagra al DPD como la figura indispensable dentro de la organización para garantizar y promover la política de protección de datos dentro de la empresa. A grandes rasgos, el DPD es una evolución del responsable de seguridad en materia de datos que ya conocíamos.
El DPD es una evolución del responsable de seguridad en materia de datos que ya conocíamos
¿Qué empresas necesitan incorporar un Delegado de Protección de Datos (DPD)?
Conforme al art. 37 RGPD, las organizaciones que traten datos de carácter personal estarán obligadas a designar un DPD en los siguientes supuestos:
a) Cuando el tratamiento lo lleve a cabo un organismo público.
b) Cuando las actividades principales de la empresa consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de datos personales a gran escala.
El considerando 91 del RGPD y, en concreto, el Grupo Europeo de Protección de Datos del Artículo 29, definen el tratamiento a gran escala como aquel por el que se tratan una cantidad considerable de datos personales a nivel regional, nacional o supranacional, donde podrían verse afectados un gran número de titulares. Este volumen es entendido o bien, como número específico o como proporción dentro de un conjunto de población, bien como duración o permanencia de la actividad de tratamiento o el rango de los diferentes tipos de datos que se están tratando.
c) Cuando las actividades principales de la empresa consistan en el tratamiento a gran escala de categorías especiales de datos personales.
Los datos sensibles, conforme al art. 9 RGPD, son los datos de origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
¿Cuáles serán las funciones del Delegado de Protección de Datos (DPD)?
a) Informar y asesorar sobre las obligaciones en materia de protección de datos y supervisar el cumplimiento de lo dispuesto en la legislación vigente.
b) Implantar, supervisar y aplicar las políticas en materia de protección de datos dentro de la organización, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
c) Supervisar que la documentación esté actualizada y conforme a las exigencias del RGPD.
d) Cooperar con la autoridad de control. El DPD será quien actúe como punto de contacto con la Agencia Española de Protección de Datos (AEPD) sobre cuestiones relativas al tratamiento, entre las que se encuentran las consultas en materia de protección de datos así como la comunicación de violaciones de seguridad.
e) El DPD es el contacto entre la AEPD y el interesado con la empresa. Los interesados podrán ponerse en contacto con el DPD en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
¿Qué características tiene el Delegado de Protección de Datos (DPD)?
a) Dependencia orgánica dentro de la organización. El DPD dependerá de la más alta dirección de la organización, y reportará a ésta de manera habitual el estado del cumplimiento de la ley vigente.
b) Independencia. Las empresas garantizarán que el DPD no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. Además el art. 37 del RGPD añade, que las empresas no podrán destituir ni sancionar al DPD por desempeñar sus funciones en materia de protección de datos.
c) Respaldo de la dirección. La organización respaldará al DPD facilitándole los recursos necesarios para el desarrollo de sus funciones.
El DPD dependerá de la más alta dirección de la organización
d) Compatibilidad. El DPD podrá desempeñar otros cometidos dentro de la organización, no obstante, advierte el RGPD en su art. 37, que la organización garantizará que dichos cometidos no den lugar a conflicto de intereses.
e) Cualificación. Conforme a lo dispuesto en el art. 37 del RGPD se debe garantizar que la persona que ejerza de DPD tenga buen conocimiento de la legislación en materia de protección de datos, así como de conocimiento suficiente de los estándares de las tecnologías de la información y capacidad de gestión en el modelo de negocio y conocimiento interno de la organización. Será imprescindible que el DPD tenga una formación cualificada y continuada en esta materia.
No es requisito indispensable que la persona que ostente el cargo de DPD sea abogado, no obstante, la designación del DPD se debe realizar atendiendo a sus conocimientos especializados del Derecho y en particular, la legislación vigente relativa a protección de datos.
¿Quién puede ser un Delegado de Protección de Datos (DPD)?
La figura del DPD puede desempeñarla tanto una persona física (empleado) o una persona jurídica. Por un lado, si nombramos a un responsable dentro de la organización para desempeñar el puesto de DPD, debemos tener en cuenta que esta persona sea un profesional del Derecho y tenga conocimientos específicos en protección de datos.
En cambio, si deseamos delegar la responsabilidad en organizaciones especializadas, como empresas de servicios jurídicos, sería aconsejable que dichas empresas dispongan de una certificación específica para desempeñar la responsabilidad del DPD.
Si nombramos a una persona en nuestra organización para ser DPD, debe ser un profesional del derecho y con conocimientos en protección de datos.
La Agencia Española de Protección de Datos con el objetivo de ofrecer una mayor seguridad y fiabilidad a las organizaciones que van a incorporar esta figura, ha optado por promover un Esquema de Certificación de DPD. Dichas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC (Entidad Nacional de Acreditación).
Si acudimos a una empresa de servicios jurídicos, es aconsejable que dispongan de una certificación para desempeñar la responsabilidad de DPD.
Para concluir, debemos considerar que los datos de carácter personal son un activo valioso dentro de la organización y estar al día en materia de protección de datos no solo va a evitarnos conflictos con la Agencia Española de Protección de Datos, sino que además va a mejorar la imagen externa de la empresa, pues denota concienciación y compromiso.