El Delegado de Protección de Datos


1.1.- ¿QUÉ ES?

Es el garante de que un sujeto obligado (en adelante, el Responsable del Tratamiento) en virtud del artículo 37 del Reglamento Europeo de Protección de Datos (RGPD), dé cumplimiento a las normas que afectan a la privacidad de las personas.

Es un profesional (también llamado oficial de cumplimiento) que también aparece en el Código Penal y en la Ley de Blanqueo de Capitales. El estatuto del Delegado de Protección de Datos está regulado en el Reglamento Europeo de Protección de Datos.

1.2.- ¿QUIÉN PUEDE SER DELEGADO DE PROTECCIÓN DE DATO?

El delegado de protección de datos debe reunir los siguientes requisitos:

a.- Capacitación: de acuerdo con lo dispuesto en el artículo 37.5 del RGPD, el delegado de protección de datos debe ser una persona con conocimientos generales del derecho y específicos en materia de protección de datos que le permitan ejercer sus funciones .

b.-Autonomía. Los responsables del tratamiento deben proporcionar recursos humanos y económicos adecuados al DPD para que pueda ejercer sus funciones.

El DPD debe tener acceso a toda la información del Responsable del tratamiento que necesite para desarrollar correctamente su cargo.

c.- Independencia. El DPD No puede recibir instrucciones por parte de los órganos de dirección del centro sobre la manera de ejercer sus funciones, pero debe rendir cuentas al más alto nivel de la institución.

c.- Objetividad. El DPD no puede estar implicado personalmente con nadie que sea miembro del responsable del tratamiento si lo aparta de los objetivos de cumplimiento.

d.- Proactividad. El DPD debe buscar la información de la fuente que la genera y tiene que recoger todas las pruebas que sean necesarias para acreditar que en el centro de trabajo existe la obligación de cumplir las normas y que, en caso de que se produzca una infracción, no se puede atribuir a la institución de la que depende el responsable del tratamiento, sino a la voluntad o la negligencia puntual de alguien que pertenece a la institución.

1.3.- FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS.

El Reglamento General de Protección de Datos exige que se aplique la diligencia debida a todos los procesos que se utilizan para tratar la información de personas físicas identificadas o identificables.

Si se produjera algún incidente de cumplimiento en materia de protección de datos la Autoridad de Protección de Datos debe valorar las medidas técnicas y organizativas que haya puesto el responsable del tratamiento para evitar el incumplimiento y, en caso de que no lo haya podido evitar, qué medidas se han previsto para mitigar y reparar los daños causados.

Se entiende que una entidad actúa de manera diligente cuando puede demostrar que dispone de procedimientos de prevención, de detección y de reacción frente a los incumplimientos. El DPD debe diseñar e implementar y gestionar la implantación de estos procesos.

a.- ACTIVIDADES DE PREVENCIÓN:

a.1.- La Evaluación del riesgo de incumplimiento (Art.24 RGPD). El Reglamento General dispone que hay que prever y analizar de manera periódica la posibilidad de incumplimiento y los riesgos de que se pueda violar la seguridad de la información y la privacidad de las personas titulares de los datos que se tratan. Aunque el reglamento europeo de protección no datos no establece un plazo concreto para hacer la evaluación de los riesgos, hay que tener presente que la Ley 3/2018 de 5 de diciembre Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales está en vigor en todo lo que no contradiga el contenido del reglamento europeo; por tanto, es prudente aplicar lo dispuesto en el RD. 1720 de 21 de diciembre y hacer una evaluación de los riesgos de incumplimiento cada dos años. La normativa ISO recomienda que se haga cada año, coincidiendo con la memoria anual y rendición de cuentas.

a.2.- Identificación y mantenimiento de los registros de tratamiento (art.30 RGPD). Hay que establecer:

• Principios relativos al tratamiento, como los de limitación de la finalidad del tratamiento, minimización de contenido y de datos o la exactitud de los datos.

• Bases jurídicas de los tratamientos

• En su caso, las normas sectoriales que determinen condiciones de tratamiento específicas distintas de las establecidas por las leyes de protección de datos

• Establecimiento de procedimientos de información a los afectados por el tratamiento de sus datos.

• Establecimiento de medidas de seguridad y de controles que garanticen el cumplimiento de las leyes. Los controles deben permitir medir la efectividad del sistema de tratamiento y evaluar el nivel de cumplimiento.

Conviene revisar periódicamente la adecuación de los registros de tratamiento cada dos años, haciéndolo coincidir con el informe de evaluación de riesgos.

a.3.- Asesorar al responsable del tratamiento (Art. 39 RGPD). El DPD debe ser capaz de resolver todas las cuestiones que surjan relativas a las normas que regulan el tratamiento de la información. Es importante la transversalidad del DPD (recordemos que cuando el RGPD regula las funciones del DPD dice que debe tener conocimientos generales del derecho). Un problema de privacidad afecta al ámbito civil y, muchas veces, el penal si se trata de delitos contra la intimidad o la dignidad de las personas.

a.4.- Formación del personal y, eventualmente, de los grupos de interés (art. 39 RGPD y 7.2 ISO 19600). Todo el personal debe estar formado debidamente. Además, hay que identificar a las personas especialmente expuestas a riesgo y diseñar un programa de contenidos adecuados a las funciones encomendadas a cada grupo de riesgo. Hay que acreditar que ha impartido las sesiones de formación y verificar que los asistentes han sacado provecho y entendido la materia tratada.

Eventualmente, se pueden hacer sesiones de formación a otras personas como, por ejemplo, usuarios del servicio y/o al personal de otras empresas que colaboran con el responsable del tratamiento.

Conviene hacer, como mínimo, un programa de formación general cada año. Al finalizar la formación, los asistentes deben rellenar un cuestionario para valorar si han alcanzado unos conocimientos mínimos.

a.5.- Revisión de la contratación (art. 28 RGPD). Hay que revisar periódicamente y mantener al día los contratos firmados entre el responsable y los encargados del tratamiento (los contratos perimetrales). La revisión contractual se debe hacer cuando se firman contratos que, para cumplir las obligaciones que contienen hay que tratar información del responsable del tratamiento. Ejemplo de contratos perimetrales: contratos con entidades financieras, asesores, limpieza, monitores, seguridad, servicio médico externo, seguros, transporte escolar, informática (mantenimiento interno y plataformas externas), etc.

a.6. – Validación de transferencias internacionales de datos (art. 44 y siguientes del RGPD). Identificación de los instrumentos de transferencia internacional de datos y adecuación a las necesidades y características de la organización y de las razones que justifiquen la transferencia. Se considera transferencia internacional cualquier tránsito de datos fuera de la UE; por ejemplo, el uso de sistemas virtuales gestionados por empresas fuera del espacio Schengen. Ejemplo de transferencia internacional de datos: Google, Instagram, facebook, whatsapp.

Conviene revisar y evaluar las actividades que impliquen transferencia internacional de datos cuando se inicia la actividad.

b.- ACTIVIDADES DE DETECCIÓN DE LOS INCUMPLIMIENTOS.

Para facilitar las actividades de detección, CIPDI ha creado una plataforma que permite:

b.1.- Recoger pruebas de cumplimiento (Art. 83 del RGPD y arte. 8.2 ISO 19600). Además de la documentación de la formación, hay que asegurarse de que las personas especialmente expuestas al riesgo no hacen actividades que pongan en peligro de riesgo a la institución. Periódicamente, estas personas tienen que llenar cuestionarios de autocontrol que el DPD ha de preparar, diseñar, verificar y custodiar. Los cuestionarios de autocontrol sirven de base para la defensa ante las autoridades de control o los juzgados y tribunales.

b.2 Evaluaciones de impacto y, en su caso, consulta previa a la autoridad de control (art. 35 y 36 RGPD). Antes de proceder a hacer una nueva actividad que afecte a la privacidad de las personas, hay que hacer una evaluación previa para minimizar el impacto que puede producir un incumplimiento, de acuerdo con los principios de privacidad desde el diseño y privacidad por defecto. Nadie puede poner en marcha una actividad que afecte a la privacidad de otras personas sin pedir el visto bueno del DPD.

Ejemplo 1: Si un trabajador quiere abrir un blog, se debe hacer un análisis sobre:

  • La transferencia internacional de datos.
  • Las medidas de seguridad que se aplicarán
  • La información implicada
  • El impacto en la privacidad de los clientes, usuarios y/o de los trabajadores.

En todo caso, y dependiendo de los resultados de los análisis, es necesario establecer las medidas adecuadas para que el impacto en la privacidad sea el mínimo posible.

Ejemplo 2: Si se hace una actividad conjunta con otro centro, hay que ver cómo impacta esta actividad a la privacidad de los participantes. Se comprobará:

  • ¿Qué datos se facilitan?
  • ¿Qué uso se hará de los datos recibidos de la otra entidad y si asegurarse de que sean proporcionadas? Hay que prever si se captarán imágenes.
  • Responsabilidad que se derive del uso inapropiado de los teléfonos móviles.

El DPD debe proponer los acuerdos y los convenios pertinentes para regular la responsabilidad de las personas físicas o jurídicas que intervienen en la actividad.

En los casos que la autoridad lo requiera, pedir la consulta previa.

b.3.- Gestión del Canal de inquietudes y de incidencias (art. 33, 34 y 39 RGPD y 5.3.4 y 10.1.2 de la ISO 19600). Los interesados deben ponerse en contacto con el delegado de protección de datos para resolver las cuestiones relativas al tratamiento de sus datos personas y, si es necesario, para ejercer los derechos. Los trabajadores están obligados a notificar al DPD:

  • Las incidencias. Las anomalías que se detecten en el sistema de tratamiento, como pueden ser la pérdida de llaves, los requerimientos de autoridades (policía, jueces, departamento, etc.), la pérdida de apoyos y otras incidencias que pueden poner en peligro la seguridad de los datos, del sistema o de los soportes.
  • Los incumplimientos. Los incumplimientos se comunicarán al DPD inmediatamente. Hay que establecer sistemas para garantizar la confidencialidad de las comunicaciones y la privacidad, intimidad y anonimización de la persona que hace la comunicación. Si el infractor es miembro del equipo directivo, hay que garantizar los derechos de la persona que notifica la infracción aplicando los principios de autonomía, independencia y objetividad.
  • Dudas. El canal de inquietudes y de incidencias se ha creado para hacer llegar al DPD las dudas y las inquietudes sobre las actividades de riesgo a las que hay que hacerlas en ella una evaluación previa de los riesgos previstos.

b.4.- Rendición de cuentas (8.2 ISO 19600). El DPD Debe hacer una memoria anual y la entregará a la dirección del centro. La memoria debe contener un resumen de las actuaciones, una valoración de la eficacia de las medidas y de los controles que se hayan puesto y los objetivos de cumplimiento previstos para el año siguiente. la memoria sirve para valorar la actividad del DPD y establecer los objetivos de cumplimiento dentro del proceso de mejora continua

c.- ACTIVIDADES DE REACCIÓN

c.1.- Resolver las peticiones de ejercicio de derechos de los afectados (ART 13 y siguientes del RGPD). Los afectados pueden pedir al responsable del tratamiento ejercer los derechos de acceso, rectificación, cancelación, oposición, supresión o “olvido”, portabilidad de los datos, limitación del tratamiento y no estar sometidos a decisiones individuales automatizadas (elaboración de perfiles) . El DPD debe responder en tiempo y forma.

c.2.- Actuar como punto de contacto entre la autoridad de control y el responsable del tratamiento (art 39 RGPD). El DPD es el interlocutor del responsable del tratamiento ante la autoridad de control. En caso de que se abra algún procedimiento contra el responsable del tratamiento, la autoridad debe dirigirse al DPD, por ello, hay que tener constancia registral.

c.3.- Gestión de las vulneraciones de seguridad (art. 33 y 34 RGPD). Cuando se produzca un incidente de relevancia que afecte a la seguridad de la información, se comunicará a la autoridad de control antes de 72 horas.

c.4.- Instrucción de expedientes (art. 83 RGPD). El DPD debe dirigir el procedimiento de investigaciones internas en caso de infracciones en el cumplimiento de las obligaciones legales. Debe recoger toda la información y hacer las propuestas de resolución, incluyendo las posibles sanciones y las acciones que se deben emprender para mitigar los daños causados.

1.4.- OBLIGADOS A DESIGNAR EL DPD (art 37. 1 RGPD y 34 LOPDGDD) (ART 83 RGPD)

El RGPD establece la obligación de designar un DPD cuando:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por razón de su naturaleza, alcance y/o finalidades, requieran una observación habitual y sistemática de interesados ​​a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales de categoría especial y de datos relativos a condenas e infracciones penales.

La LOPDGDD también establece un listado en el que los responsables y encargados del tratamiento designarán un DPD (art. 34.1), como son los colegios profesionales, los centros educativos y los prestadores de servicios de la sociedad de la información, entre otros.

Finalmente, hay que comunicar esta designación a la Agencia Española de Protección de Datos (art. 34.3 LOPDGDD).

Recientemente, la AEPD ha empezado a dictar resoluciones contra entidades por la falta de designación de un DPD, tanto a organismos públicos (https://www.aepd.es/es/documento/ps-00001-2020.pdf) como a entidades privadas (https://www.aepd.es/es/documento/ps-00417-2019.pdf). 

1.5.- RESPONSABILIDAD (ART 83 RGPD)

Con la aplicabilidad del nuevo RGPD se cambia el paradigma de cumplimiento de las normas reguladoras del tratamiento de la información de personas físicas. Si hasta ahora era suficiente no infringir la ley, ahora, además, hay que demostrar que las leyes se cumplen y la manera de cumplirlas.

En materia de protección de datos, las sanciones pueden llegar a los 20.000.000 de euros. En aplicación de lo dispuesto en el artículo 83 del RGPD, para valorar la cuantía de la sanción, se valorarán, entre otros:

  • Las medidas que haya tomado el responsable del tratamiento para paliar los daños y perjuicios sufridos por los interesados ​​(reacción ante la infracción).
  • Las medidas técnicas y organizativas que haya implantado el responsable del tratamiento para garantizar el correcto cumplimiento de las normas. (Prevención y detección de la infracción)
  • La cooperación con la autoridad de control (reacción ante la infracción)

En materia de cumplimiento normativo, el hecho de acreditar que se tiene un sistema eficaz de control y de prevención de las infracciones por parte del personal dependiente de la entidad, puede conllevar una reducción y, a veces, la exención, de la responsabilidad corporativa de la persona jurídica (STS 154/2016, de 29 de febrero, ponente: Maza Martín).

Implantar procedimientos de cumplimiento tiene una doble finalidad:

  1. Concienciar y formar al personal. El personal formado convenientemente que haya alcanzado una cultura ética de cumplimiento probablemente no cometerá muchas infracciones y, si las comete, se podrá reaccionar más eficazmente ante el responsable del tratamiento.
  2. Permite recoger pruebas de cumplimiento. Si el responsable del tratamiento puede demostrar que ha puesto todos los medios adecuados para evitar las infracciones, su responsabilidad se podrá reducir y, incluso, desaparecer.

En materia de protección de datos, el DPD es el núcleo del sistema de cumplimiento normativo.

Recommended Posts

No comment yet, add your voice below!


Add a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *