A partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés) para velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.
A
partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de Protección
de Datos (RGPD), relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos, una norma que será de aplicación obligatoria a partir de esa fecha y que
impone a las empresas numerosos deberes en relación a la privacidad.
partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de Protección
de Datos (RGPD), relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos, una norma que será de aplicación obligatoria a partir de esa fecha y que
impone a las empresas numerosos deberes en relación a la privacidad.
Una
de las obligaciones que está causando mayor polémica es la figura del Delegado
de Protección de Datos o Data Protection Officer (DPO). En primer lugar, se
debe señalar que no siempre es necesaria la figura de un delegado de protección
de datos en la empresa, no obstante, aunque no sea obligatoria puede ser
aconsejable tener a un experto en la materia que supervise nuestro tratamiento
de la información de carácter personal, nos asesore y oriente en las medidas a
corregir para cumplir con la legislación vigente.
de las obligaciones que está causando mayor polémica es la figura del Delegado
de Protección de Datos o Data Protection Officer (DPO). En primer lugar, se
debe señalar que no siempre es necesaria la figura de un delegado de protección
de datos en la empresa, no obstante, aunque no sea obligatoria puede ser
aconsejable tener a un experto en la materia que supervise nuestro tratamiento
de la información de carácter personal, nos asesore y oriente en las medidas a
corregir para cumplir con la legislación vigente.
Así
que el primer paso que hay que dar para
la adaptación al nuevo es ver si la empresa u organización está obligada a
designar a un DPO o si lo asume voluntariamente. En caso de no ser necesario
designar a un DPO, deberá identificar a la/s persona/s responsables de
coordinar la adaptación al nuevo RGPD.
que el primer paso que hay que dar para
la adaptación al nuevo es ver si la empresa u organización está obligada a
designar a un DPO o si lo asume voluntariamente. En caso de no ser necesario
designar a un DPO, deberá identificar a la/s persona/s responsables de
coordinar la adaptación al nuevo RGPD.
Atención. El Data
Protection Officer (DPO) constituye así uno de los elementos clave de la
adaptación al RGPD y un garante del cumplimiento de la normativa de protección
de datos en las organizaciones.
Protection Officer (DPO) constituye así uno de los elementos clave de la
adaptación al RGPD y un garante del cumplimiento de la normativa de protección
de datos en las organizaciones.
¿Cuándo es obligatoria la
designación de un DPO?
designación de un DPO?
El
artículo 37 del RGPD fija la obligatoriedad de su designación en estos casos:
artículo 37 del RGPD fija la obligatoriedad de su designación en estos casos:
- Cuando el tratamiento
de los datos sea realizado por un organismo público. - Cuando las
actividades principales consistan en operaciones de tratamiento que requieran
una observación habitual y sistemática de interesados a gran escala. - Si las actividades
principales del responsable implican el tratamiento a gran escala de datos
especiales (artículo 9 del RGPD) o personales referidos a condenas o delitos.
¿Qué novedad se establece
en el Proyecto de Ley Orgánica de
Protección de Datos?
en el Proyecto de Ley Orgánica de
Protección de Datos?
Hay
que tener en cuenta que actualmente se está elaborando una nueva LOPD que
derogará la actual. En este caso, el Proyecto de Ley Orgánica de Protección de
Datos, en su artículo 34, enumera una serie de entidades en las que será
obligatoria la designación de un DPO. Sin embargo, debemos tenemos presente que
se desconoce la fecha de publicación de la nueva Ley y por tanto, su contenido
no es vigente todavía y que como Proyecto aún puede sufrir algunas
alteraciones.
que tener en cuenta que actualmente se está elaborando una nueva LOPD que
derogará la actual. En este caso, el Proyecto de Ley Orgánica de Protección de
Datos, en su artículo 34, enumera una serie de entidades en las que será
obligatoria la designación de un DPO. Sin embargo, debemos tenemos presente que
se desconoce la fecha de publicación de la nueva Ley y por tanto, su contenido
no es vigente todavía y que como Proyecto aún puede sufrir algunas
alteraciones.
No
obstante, lo que señala el Proyecto es que la figura del DPO será obligatoria
para algunas empresas, entidades y organizaciones. En concreto:
obstante, lo que señala el Proyecto es que la figura del DPO será obligatoria
para algunas empresas, entidades y organizaciones. En concreto:
- Colegios
profesionales - Centros docentes, que
ofrezcan enseñanzas regladas y las Universidades públicas y privadas. - Prestadores de
servicios de comunicaciones electrónicas, incluyendo las compañías telefónicas
y los proveedores de acceso a Internet, siempre y cuando traten a gran escala
perfiles. - Prestadores de
servicios de la sociedad de la información, cuando elaboren a gran escala
perfiles de los usuarios del servicio. - Entidades de crédito
(bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de
Crédito Oficial). - Empresas de fomento
de la financiación empresarial. - Entidades
aseguradoras. - Empresas de servicios
de inversión que ofrezcan servicios de inversión bursátiles y de fondos de
ahorro. - Distribuidores y
comercializadores de electricidad. - Organizaciones que
evalúan la solvencia patrimonial y crédito. - Se incluyen los
responsables de los ficheros regulados por la Ley de prevención del blanqueo de
capitales y de la financiación del terrorismo. - Empresas de
publicidad y prospección comercial, incluyendo empresas que elaboren perfiles
del consumidor. - Centros sanitarios.
- Emisores de informes
comerciales. - Operadores de juego
electrónico. - Empresas de seguridad
privada, actividades reguladas por el Título II de la Ley 5/2014, de 4 de
abril, de Seguridad Privada, así como también los despachos de detectives
privados.
Las
empresas pueden decidir, aunque no se incluyan en los supuestos anteriores,
contar con DPO de datos interno o
externo.
empresas pueden decidir, aunque no se incluyan en los supuestos anteriores,
contar con DPO de datos interno o
externo.
La figura del Delegado de
Protección de Datos (DPO)
Protección de Datos (DPO)
El
DPO podrá estar en plantilla o ser un consultor externo a la organización. Independientemente
de la opción escogida, esa persona tendrá que actuar con total independencia en
sus funciones, para garantizar que se cumpla la normativa.
DPO podrá estar en plantilla o ser un consultor externo a la organización. Independientemente
de la opción escogida, esa persona tendrá que actuar con total independencia en
sus funciones, para garantizar que se cumpla la normativa.
El
DPO deberá contar con conocimientos técnicos y jurídicos, y obviamente en
protección de datos y actuará de forma independiente.
DPO deberá contar con conocimientos técnicos y jurídicos, y obviamente en
protección de datos y actuará de forma independiente.
- Un grupo empresarial
podrá nombrar un único delegado de protección de datos. - El delegado de
protección de datos será designado atendiendo a sus cualidades profesionales y,
en particular, a sus conocimientos especializados del Derecho y la práctica en
materia de protección de datos. - El DPO podrá formar
parte de la plantilla del responsable o desempeñar sus funciones en el marco de
un contrato de servicios. - El responsable o
encargado de tratamiento publicaran los datos de contacto del DPO y los
comunicaran a la Autoridad de Control (AEPD). - El responsable
garantizará que el DPO no reciba ninguna instrucción en lo que respecta al
desempeño de sus funciones. No será destituido ni sancionado y rendirá cuentas
directamente al más alto nivel jerárquico. - El delegado podrá
desempeñar otras funciones y cometidos. El responsable garantizará que dichas
funciones no den lugar a conflicto de intereses.
Sus
funciones principales serán:
funciones principales serán:
al responsable y a los empleados que se ocupen del tratamiento de las
obligaciones que les incumben.- Supervisar el
cumplimiento de lo dispuesto en el RGPD y otras disposiciones de protección de
datos. - Ofrecer el
asesoramiento que se le solicite acerca de la evaluación de impacto relativa a
la protección de datos. - Cooperar y actuar
como punto de contacto con la autoridad de control.
Certificación como DPO
La
Agencia Española de Protección de Datos (AEPD), en colaboración con la Entidad
Nacional de Acreditación (ENAC), ha presentado un Esquema de certificación para
el ejercicio profesional de Delegado de Protección de Datos. La AEPD se
convierte así en la primera Autoridad de control europea en desarrollar un
esquema de certificación para el ejercicio de Delegados de Protección de Datos
(DPD).
Agencia Española de Protección de Datos (AEPD), en colaboración con la Entidad
Nacional de Acreditación (ENAC), ha presentado un Esquema de certificación para
el ejercicio profesional de Delegado de Protección de Datos. La AEPD se
convierte así en la primera Autoridad de control europea en desarrollar un
esquema de certificación para el ejercicio de Delegados de Protección de Datos
(DPD).
El
objetivo es ofrecer seguridad y fiabilidad tanto a los profesionales de la
privacidad como a las empresas y entidades que van a incorporar la figura del
DPO a sus organizaciones ofreciendo un mecanismo que permite certificar que los
DPO reúnen la cualificación profesional y los conocimientos requeridos.
objetivo es ofrecer seguridad y fiabilidad tanto a los profesionales de la
privacidad como a las empresas y entidades que van a incorporar la figura del
DPO a sus organizaciones ofreciendo un mecanismo que permite certificar que los
DPO reúnen la cualificación profesional y los conocimientos requeridos.
No
obstante, hay que destacar que esta certificación no será obligatoria, si bien
este sistema de certificación ofrece una seguridad y fiabilidad para las
empresas en cuanto a que todos aquellos que superen este esquema de
certificación contarán con los conocimientos y aptitudes necesarias para poder
desempeñar su labor como DPO.
obstante, hay que destacar que esta certificación no será obligatoria, si bien
este sistema de certificación ofrece una seguridad y fiabilidad para las
empresas en cuanto a que todos aquellos que superen este esquema de
certificación contarán con los conocimientos y aptitudes necesarias para poder
desempeñar su labor como DPO.
Sin
embargo, debido a que se trata de un esquema de reciente creación a fecha de
hoy aún no hay entidades acreditadas para esta actividad de certificación,
únicamente, una primera autorización, que de momento es provisional, emitida
por la Agencia Española de Protección de Datos.
embargo, debido a que se trata de un esquema de reciente creación a fecha de
hoy aún no hay entidades acreditadas para esta actividad de certificación,
únicamente, una primera autorización, que de momento es provisional, emitida
por la Agencia Española de Protección de Datos.
Para
más información:
más información:
Pueden
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
Un
cordial saludo,
cordial saludo,
José María Quintanar Isasi