Funciones del delegado de protección de datos (DPO)
Funciones del delegado de protección de datos (DPO)
Si bien los Delegados de protección de datos no tienen la obligación de estar certificados o haber obtenido un título que les habilite para ejercer la función, no significa que cualquier persona pueda ser designada para este tan relevante puesto. Como vimos en el artículo “¿Qué es un Delegado de Protección de Datos?” de nuestro Blog, las funciones del delegado de protección de datos, en las que ahora ahondaremos, y su figura, representan uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones como así afirma nuestra AEPD
Su nombramiento debe atenerse a sus cualidades profesionales, prestando especial importancia a sus conocimientos especializados en Derecho y, por supuesto, a su práctica en la materia de la protección de datos. Sin embargo, ante la necesidad del conjunto de empresas y el mercado en general de personas cualificadas para el ejercicio de la función, la Agencia Española de Protección de Datos ha elaborado un Esquema de Certificación que garantiza a cualquier operador que contrate a un DPO certificado la seguridad de la valía de sus conocimientos y supone un paso más en la Accountability de la organización.
En cuanto a su posición dentro de la compañía, como establece el artículo 38 del RGPD, el responsable y el encargado del tratamiento deberán garantizar que el delegado de protección de datos «participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales«. Lo que implica participar, desde la etapa más temprana posible, en todas las cuestiones relativas a la protección de los datos (especialmente, en relación con las evaluaciones de impacto) y constituir un interlocutor válido dentro de la organización, participando en todos los grupos de trabajo relativos a los diferentes tratamientos que se efectúen.
¿Qué hace la figura del DPO?
Vista la notable importancia que le dan los reguladores europeos a la nueva figura del DPO, es imprescindible que hagamos una exposición particularizada de las funciones de los delegados de protección de datos de manera que entendamos todas las posibilidades que ofrece contar con este puesto dentro de nuestra compañía, sea o no obligatorio para nosotros.
Si atendemos a las funciones del DPO según el RGPD, en particular, al artículo 39 del Reglamento, se establece que, como mínimo, tendrá las siguientes:
– Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
-Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
– Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
– Cooperar con la autoridad de control;
-Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Pero como hemos señalado, esta lista no constituye más que una prelación de funciones mínimas que habrá de cumplir. La práctica habitual, junto con el desarrollo por parte de las diferentes autoridades en la materia, como el esquema de certificación de la AEPD, ha implicado la materialización de estos mínimos en un amplio abanico de responsabilidades que corresponden al DPO. En Seifti ofrecemos nuestro Servicio de DPO externalizado para que no tengas que preocuparte del cumplimiento en tu organización.
Así, encontramos que en primer lugar deberá llevar a cabo un análisis previo del entorno del responsable o encargado al que vaya a asistir, analizando la organización y distribución de responsabilidades y funciones dentro de la entidad relativas a los diferentes tratamientos de datos, el marco legal donde se ubica y el conjunto de relaciones que se establezcan con otros operadores
En concreto, ¿Qué hará el DPO en tu empresa?
Una vez analizada y entendida la organización, dependiendo del estado de implantación de las exigencias de la normativa de protección de datos, colaborará bien en la creación o en el mantenimiento actualizado tanto del Registro de Actividades del Tratamiento (RAT) así como de las diferentes políticas con las que ha de contar cualquier compañía (Política de privacidad, cookies).
Revisará en profundidad las diferentes operaciones de tratamiento de datos personales que se lleven a cabo, asegurando que cumplen el conjunto de exigencias del RGPD, tanto de fondo como de forma, lo que incluyen plazos de conservación, obligaciones de información, objeto y límites, validez de los consentimientos, bases de legitimación, realización de transferencias internacionales, etc. En definitiva, asegurar que los datos se tratan conforme a los principios rectores de la nueva legalidad de protección de datos. Y es que este es uno de sus principales objetivos, el velar por el cumplimiento tanto del RGPD, como de la LOPD, o de cualquier otra normativa que sea de aplicación dadas las circunstancias concretas de la entidad, ya sea sectorial o internacional.
Por su parte, asistirá y supervisará la realización e implantación de las evaluaciones de impacto relativas a la protección de datos (EIPD), donde se pone el foco en los riesgos y amenazas que atenten no solo contra la seguridad de la información, sino que también abarca, con especial importancia, el conjunto de riesgos para los derechos y libertades de los interesados que puedan surgir a raíz de los diferentes tratamientos. En el caso de que tras la realización de la evaluación y la adecuada implementación de medidas de mitigación, el riesgo sea demasiado elevado, ejercerá otra de sus funciones como intermediario con la Autoridad de control, a la cual podrá realizar las oportunas consultas y comunicaciones.
Precisamente, dentro de estas comunicaciones, también se encuadran las notificaciones a la Autoridad de control de las violaciones de seguridad que pudiesen acontecer, prestando al responsable de igual manera apoyo a la hora de la documentación de las mismas en cuanto su estructura, configuración, administración e, incluso, investigación. Esta última función, entendida en sentido amplio, de modo que abarque investigaciones tanto de incidentes de seguridad de la información que pudieran afectar a los derechos de los interesados como de denuncias internas y externas con relevancia para el DPO.
Finalmente, sin querer extendernos en demasía, otras de sus funciones relevantes constituyen la colaboración en la celebración de contratos de encargados o corresponsables del tratamiento, en la implementación y elección de los mecanismos más adecuados para la realización de transferencias internacionales de datos, en la formación de empleados y miembros de la entidad en la materia de la protección de datos personales, la asistencia en la obtención de certificaciones e implementación de códigos de conducta, asistencia en el ejercicio de derechos por parte de los interesados y, por su puesto, en la revisión, vigilancia, adecuación y actualización del conjunto de procesos y tareas mencionadas hasta el momento.
La figura del DPO en una empresa
La figura del DPO en la compañía aporta un gran valor añadido. Además de la materialización del conjunto de funciones que hemos señalado, supone una mejora en la optimización de recursos dados sus conocimientos expertos en la materia de protección de datos y en la tramitación de gestiones y procesos que involucra.
Su ubicación en la compañía, ya sea de manera interna o externa, implicará responder únicamente ante el más alto nivel de la misma para garantizar su libertad y autonomía. Por su parte, para el pleno ejercicio de estas funciones, el delegado de protección de datos deberá tener pleno acceso a los datos personales y procesos de tratamiento, no pudiéndose oponer a este acceso el responsable o encargado bajo la alegación de cualquier deber de confidencialidad o secreto. Protegiendo el Reglamento a esta figura en su artículo 38.3 de tal manera que no pueda ser sancionado o sustituido por el responsable o encargado por meramente desempeñar sus funciones sin haber incurrido en dolo o negligencia grave.
Atendiendo a las recomendaciones emitidas por el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección de Datos):
-Deberá participar con regularidad en reuniones con los cuadros directivos altos y medios.
-Estará presente cuando se tomen decisiones con implicaciones para la protección de datos (recordando que toda información relevante ha de transmitirse al DPO con su debido tiempo con el fin de prestar un asesoramiento adecuado)
-Se tendrá debidamente en cuenta su opinión, justificando los motivos de desacuerdo con el mismo.
-Se le habrá de consultar con prontitud en caso de incidentes o violaciones de seguridad.
Hemos de señalar que si su entidad está sujeta a la obligación de contar con un DPO en virtud del RGPD o la LOPD, su no designación puede suponer una infracción catalogada como grave, las cuales pueden sancionarse con multas que abarcan desde los 40.001€ hasta los 300.000€. Si quieres ahorrarte problemas legales y conocer cuando es necesario un delegado de protección de datos para tu compañía, realiza nuestro cuestionario.
¿Quién designa a un DPO?
La empresa designa al DPO de forma interna y es responsable de asegurarse de que cumple con los requisitos y responsabilidades establecidos en el RGPD.
En muchas organizaciones, especialmente en aquellas que están obligadas a tener un DPO según los criterios del RGPD, como las grandes empresas o las que tratan datos sensibles a gran escala, la designación del DPO es una decisión tomada por la alta dirección o la junta directiva de la empresa.
Puede ser el resultado de una evaluación de riesgos y requisitos de cumplimiento en relación con la protección de datos personales.
¿Qué certificación necesita un delegado de protección de datos para ejercer?
Actualmente los Delegados de protección de datos no necesitan una certificación oficial para el ejercicio de la función. Sin embargo, como hemos señalado, habrá de valorarse sus conocimientos tanto en Derecho como en la protección de datos. Así lo encontramos reflejado en el artículo 37.5 del RGPD y en la LOPD, la cual precisa, que estos requisitos podrán demostrarse, entre otras vías, a través de mecanismos voluntarios de certificación, teniéndose particularmente en cuenta la obtención de una titulación universitaria.
Para proporcionar una solución uniforme, la AEPD ha elaborado un esquema de certificación a través del cual pueden certificarse los candidatos a convertirse en Delegados de protección de datos, quienes habrán de someterse a una evaluación mediante alguna de las entidades acreditadas por la ENAC. Este esquema sigue los criterios internacionales de certificación de personas conforme a la norma ISO 17024 y las entidades de certificación acreditadas por ENAC otorgaran al profesional un certificado que implica un reconocimiento de que tiene las competencias adecuadas para el desarrollo de sus funciones de conformidad con el RGPD siempre y cuando con carácter previo cumpla con unos requisitos y supere un examen.
Si quieres saber más acerca de cómo se llega a ser DPO, consulta nuestro artículo “Requisitos para ser delegado de protección de datos” de nuestro Blog.
¿Necesitas los servicios de delegado de protección de datos | DPD?
La contratación interna de un delegado de protección de datos por parte de una entidad puede suponer una ineficiente asignación de recursos dado su coste y la problemática en la elección de la persona adecuada para el desempeño de un cargo con tan alta responsabilidad. Por ello, soluciones como las que ofrecemos en Seifti de servicios DPO externalizado suponen una de las mejores opciones si quiere contar con un equipo experto en protección de datos que gestione todos los procesos necesarios y garantice su cumplimiento normativo en la protección de datos.
Si quiere saber más sobre los servicios de DPD externalizado que ofrece Seifti rellenen este formulario y nos pondremos en contacto con usted en menos de 24h.
No Comments