DPO / DPD

Delegado de protección de datos

Delegado en Protección de Datos
Delegado en Protección de Datos

 

Nueva figura que incluye el Reglamento europeo y que juega un papel muy importante en esta fase legislativa que se inicia el 25 de mayo de 2018

 

 ¿Quién está obligado a designar un DPO en su Organización?

 

 

Según el artículo 37 del Reglamento Europeo de Protección de Datos Personales, RGPD: 

 

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:  

 

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; 

 

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; 

 

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 

 

2. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

De manera que el mismo DPO podrá actuar sobre los organismos autónomos dependientes de la organización municipal

 

¿Quien tiene que nombrar un DPO?

 

A parte de todo Organismo público, de entidades que tengan una observación habitual y sistemática de interesados a gran escala, o que la actividad principal consistan en el tratamiento a gran escala de categorías especiales de datos personales,  la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPD, en su art. 34.1, referente a las entidades privadas, nos dice que estarán obligados a nombrar un DPO: 

  • Colegios profesionales.
  • Centros docentes a todos los niveles, con enseñanza regulada.
  • Servicios de comunicación electrónica.
  • Prestadores de servicios TIC.
  • Entidades aseguradoras y reaseguradoras.
  • Servicios de inversión.
  • Distribuidores de electricidad.
  • Entidades de solvencia patrimonial y Crédito, y responsables de ficheros regulados por la legislación de Blanqueo de capitales.
  • De publicidad y prospección comercial.
  • Centros sanitarios con obligación de historial clínico.
  • Emisión de informes comerciales referidos a personas físicas.
  • Operadores de juego online.
  • Empresas de seguridad privada.
  • Federaciones deportivas.

 

¿Qué tiene que hacer un DPO?

 

La realización de nuestro servicio DPO consitirá en cumplir con las obligaciones del puesto según se describen en el Art. 39 del Reglamento:

 

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento Europeo de Protección de Datos y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 

b) supervisar el cumplimiento de lo dispuesto en el Reglamento Europeo de Protección de Datos, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

 

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento;

d) cooperar con la autoridad de control;

 

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del reglamento, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

3. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

Se informa al Responsable de los Ficheros que como Grupo Empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.(art. 37.2 del Reglamento)

 

En cumplimiento del art. 37.5 se acreditan los conocimientos específicos en la materia, la experiencia y la capacidad para desarrollar el puesto en base a la siguiente descripción profesional que podrá ser acreditada a petición del responsable de los Ficheros:

 

 

 

Obligaciones del responsable de los Ficheros respecto del DPO

 

En cumplimiento de lo estipulado en el art. 38 del Reglamento:

 

Garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

 

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. 

Por lo tanto serán por cuenta del responsable de los ficheros los importes de los cursos de formación realizados por el DPO, así como la asistencia a Congresos y jornadas especializadas en materia de privacidad y protección de datos personales.

 

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.

 

No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

 

Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del Reglamento.

 

Obligaciones del Delegado en protección de Datos

 

El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

 

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

DPO en Administraciones Públicas

 

 

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos que el propio RGPD establece, así como en otros casos en que la legislación de los Estados Miembro lo considere también obligatorio.

 

 

 

Entre los supuestos en que habrá de designarse un DPD se encuentra el de que "el tratamiento lo lleve a cabo una autoridad u organismo público", tanto en calidad de responsable como en funciones de encargado de tratamiento (art. 37.1.a RGPD). 

El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD en el ámbito público deberá haberse producido con antelación a esa fecha. 

1. Posición y funciones del DPD 

El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas. 

a) El RGPD prevé que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público se pueda designar un único delegado de protección de datos para varios de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. 

Esta previsión está directamente relacionada con una de las primeras cuestiones a resolver en relación con los DPD en el ámbito público, que es la de determinar cuál va a ser su lugar en las organizaciones administrativas. 

Con carácter general, cabe señalar, en primer lugar, que de acuerdo con el RGPD es posible designar un único DPD para, por ejemplo, un ministerio, consejería o ayuntamiento. Al mismo tiempo, no parece aconsejable que ese único DPD actúe respecto de grandes unidades u órganos con entidad y tareas claramente diferenciadas, por mucho que orgánicamente puedan depender de un departamento ministerial, consejería o ayuntamiento (podrían ser ejemplos los casos de la Secretaría de Estado de Seguridad Social, responsable de la dirección y tutela de las Entidades Gestoras y Servicios Comunes de la Seguridad Social, o el de la Dirección General de Tráfico). 

Por otra parte, y dadas las funciones del DPD, su adscripción dentro de la estructura de la organización debe hacerse a órganos o unidades con competencias y funciones de carácter horizontal. Asimismo, el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del órgano u organismo en el que desempeñe sus funciones. 

b) El RGPD prevé que el DPD podrá desarrollar su actividad a tiempo completo o a tiempo parcial y también que podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 

En órganos, organismos o entes de gran tamaño en que exista un único DPD lo habitual será que desempeñe sus funciones a tiempo completo. Es, incluso, posible que el DPD formalmente nombrado esté respaldado por una unidad específicamente dedicada a la protección de datos. En entidades de menor tamaño será posible que el DPD compagine sus funciones con otras. Si éste es el caso, debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información).

El RGPD ofrece la posibilidad de que se contraten externamente las funciones de DPD. Esta opción puede ser utilizada en determinados casos, como podría ser el de pequeños municipios que se beneficien de un servicio que ofrezca una diputación provincial o una comunidad autónoma o, incluso, que donde ese servicio no exista puedan optar por los servicios de entidades privadas especializadas. 

c) Según el RGPD, la posición del DPD debe conllevar: 

 - La participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales 

- Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos necesarios para el desempeño de sus funciones 

- No recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones y no ser destituido ni sancionado por el responsable o el encargado por causas relacionadas con ese desempeño de funciones 

- Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado. Esta característica debe interpretarse en el sentido de que el DPD debe poder relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o promover decisiones basadas en las recomendaciones, propuestas o evaluaciones que realice el DPD. 

Todos estos elementos deben ser tomados en consideración en la identificación de la ubicación del DPD dentro de la organización y en la configuración del correspondiente puesto de trabajo y, en su caso, de la unidad dependiente del DPD. 

d) El RGPD establece que el DPD será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. 

La provisión de los puestos de trabajo de DPD requerirá la selección de empleados públicos que reúnan esos requisitos y, en especial, los conocimientos especializados en derecho y práctica la protección de datos que el RGPD exige.

Dado que la figura del DPD no es obligatoria en la actualidad, así como la necesidad de cubrir un número significativo de plazas de DPD con anterioridad a la fecha de aplicación del RGPD, es razonable suponer que será necesario desarrollar de forma inmediata una labor de formación de posibles candidatos a ocupar por primera vez los puestos de DPD en todos los niveles de las AAPP. 

En todo caso, y una vez superada la primera fase derivada de la entrada en aplicación del RGPD, sería aconsejable establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD. Ello sin perjuicio de otras actividades de formación sobre protección de datos dirigidas a la totalidad de empleados públicos. 

e) El RGPD señala entre las funciones del DPD las de: 

-Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. 

- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales. 

f) Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento o y supervisión en, entre otras, las siguientes áreas: 

 * Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos 

*  Identificación de las bases jurídicas de los tratamientos 

 * Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos 

 *  Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos 

* Diseño e implantación de medidas de información a los afectados por los tratamientos de datos 

* Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados 

* Valoración de las solicitudes de ejercicio de derechos por parte de los interesados 

* Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado 

* Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia 

* Diseño e implantación de políticas de protección de datos 

* Auditoría de protección de datos 

* Establecimiento y gestión de los registros de actividades de tratamiento 

* Análisis de riesgo de los tratamientos realizados 

* Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos 

* Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos 

* Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados 

* Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos 

* Realización de evaluaciones de impacto sobre la protección de datos 

* Relaciones con las autoridades de supervisión 

* Implantación de programas de formación y sensibilización del personal en materia de protección de datos