Seleccionar página

PROTOCOLOS (PARTE VII). Nombramiento del DPD

por | Dic 4, 2018 | blog, DPD, DPD, RAT o Registro de Actividades de Tratamiento | 0 Comentarios

DELEGADO-PROTECCION-DE-DATOS

¿Qué se debe incluir en el Registro de Actividades de Tratamiento en relación al DPD?

  • Lo primero que tiene que hacer la empresa en su Registro de Actividades de Tratamiento es definir la  naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés).
  • Una vez se ha decidido el nombramiento de un DPD, se debe incluir en el RAT  el documento de designación, a suscribir por las partes, tanto para el caso en que sea obligatorio contar con esta figura, como en el caso en que  la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
  • Se recomienda documentar, en este Protocolo, la fundamentación jurídica que justifique tanto la obligatoriedad de la designación, como la no obligatoriedad de la designación del DPD en la empresa.
  • En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada.

  • En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.

  • El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015 , del Procedimiento Administrativo Común de las Administraciones Públicas.

  • Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.

¿Cuándo es necesario un delegado de protección de datos?

Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,
  3.  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (art. 9, RGPD) y de datos relativos a condenas e infracciones penales (art. 10, RGPD)

En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO.

Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de esta persona, o consultor, no es un “DPO”.

Autoridad u Organismo público

 

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.

En tales casos, la designación de un DPO es obligatoria.

Una tarea pública puede ser llevada a cabo no sólo por parte de Autoridades u organismos públicos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:

  • Servicios de transporte,
  • Suministro de energía,
  • Infraestructuras viarias,
  • Servicio público de radiodifusión,
  • Vivienda pública o
  • Profesiones reguladas.
Datos a gran escala

 

Otro supuesto en el que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR tampoco define lo que constituye gran escala.

De hecho, no es posible dar un número preciso, ni con respecto a la cantidad de datos procesados ni con el número de personas afectadas.

Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades.

En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores:

  • Número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
  • Volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
  • Duración o permanencia de la actividad de procesamiento de datos.
  • Extensión geográfica de la actividad de transformación.
Ejemplos de procesamiento a gran escala:
  • Procesamiento de datos de pacientes, en el curso regular de los negocios, por un hospital.
  • Tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje).
  • Procesamiento de datos geográficos, en tiempo real, de clientes de una cadena internacional de comida rápida, para fines estadísticos, por un procesador especializado en la prestación de estos servicios.
  • Gestión de datos de clientes, en el curso normal de los negocios, por una compañía de seguros o un banco.
  • Procesar datos personales para publicidad conductual mediante un motor de búsqueda.
  • Tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet.
Ejemplos que no constituyen tratamiento a gran escala:
  • Procesamiento de datos de pacientes por un médico individual.
  • Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.
Monitoreo regular y sistemático

 

La noción de supervisión regular y sistemática de los datos tampoco está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta “regular” como:

  • En curso, ocurriendo a intervalos particulares, durante un período determinado.
  • Recurrentes o repetidos en horarios fijos.
  • Constante o periódicamente, teniendo lugar.

Interpreta que “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Ejemplos

  • Operar una red de telecomunicaciones;
  • Prestación de servicios de telecomunicaciones;
  • Elaboración de perfiles y puntuación para fines de evaluación de riesgos;
  • Seguimiento mediante aplicaciones móviles;
  • Programas de lealtad;
  • Publicidad conductual;
  • Seguimiento de datos sobre el bienestar, la aptitud física y la salud, a través de dispositivos portátiles;
  • Circuito cerrado de televisión;
  • Dispositivos conectados.

¿Quién puede ser DPD?

  • El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos,  y a su capacidad para desempeñar las funciones indicadas en el artículo 39 RGPD
  • El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¿Qué funciones ha de cumplir un delegado de protección de datos?

El delegado de protección de datos tendrá como mínimo las siguientes funciones:

  • a) informar y asesorar al responsable o al encargado del tratamiento,  y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD
  • d) cooperar con la autoridad de control;
  • e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Obligatoriedad del DPD en las administraciones públicas

  • En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.
  • Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD, debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.

Fácilmente accesible desde cada establecimiento

  • El RGPD permite a un grupo de empresas designar un único DPO siempre que sea “Fácilmente accesible desde cada establecimiento”.
  • La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos.
  • A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del RGPD.
  • El DPO debe estar en una posición tal que pueda comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.
  • También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño.
  • Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.
  • El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas.  Sin embargo, la obligación de secreto/ confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Entidades obligadas a tener un DPD

Algunas de las entidades que están obligadas a la designación de un delegado de protección de datos son:

  • Colegios profesionales y sus consejos generales
  • Centros docentes
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
  • Prestadores de servicios de la sociedad de la información
  • Entidades de crédito
  • Establecimientos financieros de crédito
  • Entidades aseguradoras y reaseguradoras
  • Empresas de servicios de inversión
  • Distribuidores y comercializadores de energía eléctrica y de gas natural
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  • Entidades que desarrollen actividades de publicidad y prospección comercial
  • Centros sanitarios
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  • Operadores que desarrollen la actividad de juego
  • Quienes desempeñen las actividades de Seguridad Privada
  • Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

 

Gestiona Abogados

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *