Servei Delegat de Protecció DPD

Servei Delegat de Protecció DPD2018-03-06T10:02:09+00:00

SERVEI DELEGAT DE PROTECCIÓ DE DADES (DPD) O DATA PROTECTION OFFICER (DPO)

El Reglament General de Protecció de Dades, introdueix una nova figura amb funcions específiques i màxima responsabilitat juntament amb els Responsables i Encarregats de tractament.

El Delegat de Protecció de Dades pot formar part de la plantilla del responsable o encarregat o actuar en el marc d’un contracte de serveis.

Designació del Delegat de Protecció de Dades DPD

L’article 37 del Reglament determina l’obligatorietat de la designació del DPD en tres supòsits:

  • Quan el tractament el porti a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
  • Quan les activitats principals del Responsable o Encarregat del tractament consisteixin en operacions de tractament que, per raons de la seva naturalesa, abast i / o fins, requereixin un seguiment regular i sistemàtic dels interessats a gran escala
  • Quan les activitats principals del Responsable o l’Encarregat consisteixin en el tractament a gran escala de categories especials de dades o dades personals relacionats amb condemnes i delictes

Aquesta figura també pot ser designada de manera voluntària per qualsevol entitat que no es trobi dins d’aquests supòsits, per ajudar en el compliment de la normativa.

D’altra banda, en l’avantprojecte de la LOPD, especifica alguns casos concrets en què també serà necessari designar un Delegat de Protecció de Dades.

  1. Els col·legis professionals i els seus consells generals, regulats per la Llei 2/1974, de 13 febrer, sobre col·legis professionals.
  2. Els centres docents que ofereixin ensenyaments regulats per la Llei Orgànica 2/2006, de 3 de maig, d’educació, i les universitats públiques i privades.
  3. Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques d’acord amb el que disposa la Llei 9/2014, de 9 de maig, general de telecomunicacions.
  4. Els prestadors de serveis de la societat de la informació que demanin informació dels usuaris dels seus serveis, sigui o no exigible el registre previ per a l’obtenció dels mateixos.
  5. Les entitats incloses a l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.
  6. Els establiments financers de crèdit regulats per Títol II de la Llei 5/2015, de 27 d’abril, de foment del finançament empresarial.
  7. Les entitats asseguradores i reasseguradores sotmeses a la Llei 20/2015, de 14 de juliol, d’ordenació, supervisió i solvència de les entitats asseguradores i reasseguradores
  8. Les empreses de serveis d’inversió, regulades pel títol V del text refós de la Llei del Mercat de Valors, aprovat per Reial Decret Legislatiu 4/2015, de 23 d’octubre.
  9. Els distribuïdors i comercialitzadors d’energia elèctrica, d’acord amb el que disposa la Llei 24/2013, de 26 de desembre, del sector elèctric, i els distribuïdors i comercialitzadors de gas natural, d’acord amb la Llei 34/1998, de 7 de octubre, del sector d’hidrocarburs.
  10. Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per l’article 32 de la Llei 10/2010, de 28 d’abril, de prevenció del blanqueig de capitals i del finançament del terrorisme.
  11. Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d’investigació comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils dels mateixos.
  12. Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients d’acord amb el que disposa la Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.
  13. Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials sobre persones i empreses.
  14. Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d’acord amb el que disposa la Llei 3/2011, de 27 de maig, de regulació del joc.
  15. Els que ocupin les activitats regulades pel Títol II de la Llei 5/2014, de 4 d’abril, de seguretat privada

Nomenament al Delegat de Protecció de Dades DPD

El nomenament del delegat de Protecció de Dades el realitzarà el Responsable o l’Encarregat del tractament.

La seva identitat serà comunicada a l’autoritat de control (Agència Espanyola de Protecció de Dades) i al públic en general ja que, els interessats tenen la possibilitat de posar-se en contacte directe amb el Delegat de Protecció de Dades per a elaborar qualsevol consulta referida al tractament de les seves dades personals o dur a terme els drets que els correspongui.

Obligacions del Delegat de Protecció de Dades DPD

  1. Informar i assessorar el responsable o l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions que indica el Reglament
  2. Supervisar el compliment de la normativa i altres disposicions relatives a la de protecció de dades i les auditories corresponents
  3. Conscienciació i formació del personal que participa en les operacions de tractament.
  4. Col·laborar en avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació
  5. Cooperar amb l’autoritat de control i actuar com a punt de contacte entre la mateixa i l’empresa

El delegat de protecció de dades exercirà les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l’abast, el context i finalitats del tractament.

Posició del Delegat de Protecció de Dades DPD

  1. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades participi de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals.
  2. El responsable i l’encarregat del tractament donaran suport al delegat de protecció de dades en l’exercici de les funcions esmentades a l’article 39, facilitant els recursos necessaris per a l’exercici d’aquestes funcions i l’accés a les dades personals i a les operacions de tractament , i per al manteniment dels seus coneixements especialitzats.
  3. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades no rebi cap instrucció pel que fa a l’exercici d’aquestes funcions. No serà destituït ni sancionat pel responsable o l’encarregat per exercir les seves funcions. El delegat de protecció de dades ha de retre comptes directament al més alt nivell jeràrquic del responsable o encarregat.
  4. Els interessats podran posar-se en contacte amb el delegat de protecció de dades pel que fa a totes les qüestions relatives al tractament de les seves dades personals i l’exercici dels seus drets a l’empara del present Reglament.
  5. El delegat de protecció de dades estarà obligat a mantenir el secret o la confidencialitat pel que fa a l’acompliment de les seves funcions, de conformitat amb el Dret de la Unió o dels estats membres.
  6. El delegat de protecció de dades podrà exercir altres funcions i comeses. El responsable o encarregat del tractament ha de garantir que aquestes funcions i comesos no donin lloc a conflicte d’interessos.

Serveis de Delegat de Protecció de Dades extern DPD

SETEMCAT els ofereix el servei de DPD extern per tal d’adaptar el tractament de la informació del client al compliment del RGPD i la seva normativa de desenvolupament. En concret, els treballs a portar a terme per SETEMCAT són:

  • Identificació de les bases jurídiques dels tractaments a què obliga la normativa vigent, incloent tant les mesures tècniques com les organitzatives. Entre les mesures de seguretat exigides per al compliment del RDLOPD / RGPD, cal destacar.
  • Valoració de compatibilitat de finalitats diferents de les que van originar la recollida inicial de les dades.
  • Existència de normativa sectorial que pugui determinar condicions de tractament específiques diferents de les establertes per la normativa general de protecció de dades.
  • Disseny i implantació de mesures d’informació als afectats pels tractaments de dades.
  • Establiment de mecanismes de recepció i gestió de les sol·licituds d’exercici de drets per part dels interessats.
  • Valoració de les sol·licituds d’exercici de drets per part dels interessats.
  • Supervisió dels encarregats de tractament, inclòs el contingut dels contractes o actes jurídics que regulen la relació responsable-encarregat.
  • Identificació dels instruments de transferència internacional de dades adequades a les necessitats i característiques de l’organització i de les raons que justifiquin la transferència.
  • Disseny i implantació de polítiques de protecció de dades.
  • Auditoria continuada de protecció de dades.
  • Establiment i gestió dels registres d’activitats de tractament.
  • Anàlisi de risc dels tractaments realitzats.
  • Implantació de les mesures de protecció de dades des del disseny i protecció de dades per defecte adequades als riscos i naturalesa dels tractaments.
  • Implantació de les mesures de seguretat adequades als riscos i naturalesa dels tractaments.
  • Establiment de procediments de gestió de violacions de seguretat de les dades, inclosa l’avaluació del risc per als drets i llibertats dels afectats i els procediments de notificació a les autoritats de supervisió i als afectats.
  • Determinació de la necessitat de realització d’avaluacions d’impacte sobre la protecció de dades.
  • Realització d’avaluacions d’impacte sobre la protecció de dades si escau.
  • Relacions amb les autoritats de supervisió.
  • Implantació de programes de formació i sensibilització del personal en matèria de protecció de dades
  • Realització d’informes de recomanacions tècniques.