SERVEI DE DELEGAT DE PROTECCIÓ DE DADES (DPD) O DATA PROTECTION OFFICER (DPO)

Designació del Delegat de Protecció de Dades DPD

La figura del delegat de protecció de dades adquireix una destacada importància en el Reglament (UE) 2016/679 i així ho recull la llei orgànica.

L’art. 34 de la LOPDGDD, indica que els responsables i encarregats del tractament hauran de designar un delegat de protecció de dades quan:

  • El tractament el porti a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
  • Les activitats principals consisteixin en operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
  • Les activitats principals consisteixin en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals.
  • També hauran de designar-quan així ho estableixi el dret de la Unió o dels Estats Membre.

Aquesta figura també pot ser designada de manera voluntària per qualsevol entitat que no es trobi dins d’aquests supòsits, per ajudar en el compliment de la normativa.

A més, la LOPDGDD especifica les entitats les quals també seran objecte d’aquesta obligació:

  • a) Els col·legis professionals i els seus consells generals.
  • b) Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així com les universitats públiques i privades.
  • c) Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques d’acord amb el que disposa la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.
  • d) Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
  • e) Les entitats incloses a l’article 1 de la Llei 10/2014, de 26 de juny, d’ordenació, supervisió i solvència d’entitats de crèdit.
  • f) Els establiments financers de crèdit.
  • g) Les entitats asseguradores i reasseguradores.
  • h) Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.
  • i) Els distribuïdors i comercialitzadors d’energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
  • j) Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
  • k) Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d’investigació comercial i de mercats, quan duguin a terme, tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l’elaboració de perfils dels mateixos.
  • l) Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.
    • S’exceptuen els professionals de la salut que, tot i estar legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.
  • m) Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials que puguin referir-se a persones físiques.
  • n) Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d’acord amb la normativa de regulació del joc.
  • ñ) Les empreses de seguretat privada.
  • o) Les federacions esportives quan tractin dades de menors d’edat.

Nomenament al Delegat de Protecció de Dades DPD

El nomenament del delegat de Protecció de Dades el realitzarà el Responsable o l’encarregat del tractament.

La seva identitat serà comunicada a l’autoritat de control (Agència Espanyola de Protecció de Dades) i al públic en general ja que, els interessats tenen la possibilitat de posar-se en contacte directe amb el Delegat de Protecció de Dades per a consultar qualsevol consulta referida al tractament de les seves dades personals o dur a terme els drets que els correspongui.

Obligacions del Delegat de Protecció de Dades DPD

  1. Informar i assessorar el responsable o l’encarregat del tractament i als empleats que s’ocupin del tractament de les obligacions que indica el Reglament.
  2. Supervisar el compliment de la normativa i altres disposicions relatives a la de protecció de dades i les auditories corresponents.
  3. Conscienciació i formació del personal que participa en les operacions de tractament.
  4. Col·laborar en avaluació d’impacte relativa a la protecció de dades i supervisar la seva aplicació.
  5. Cooperar amb l’autoritat de control i actuar com a punt de contacte entre la mateixa i l’empresa.

El delegat de protecció de dades exercirà les seues funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l’abast, el context i fins del tractament.

Posició del Delegat de Protecció de Dades DPD

  1. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades participi de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals.
  2. El responsable i l’encarregat del tractament donaran suport al delegat de protecció de dades en l’exercici de les seves funcions, facilitant els recursos necessaris per a l’exercici d’aquestes funcions i l’accés a les dades personals i a les operacions de tractament, i per al manteniment dels seus coneixements especialitzats.
  3. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades no rebi cap instrucció pel que fa a l’exercici d’aquestes funcions. No serà destituït ni sancionat pel responsable o l’encarregat per exercir les seves funcions. El delegat de protecció de dades de retre comptes directament al més alt nivell jeràrquic del responsable o encarregat.
  4. Els interessats podran posar-se en contacte amb el delegat de protecció de dades pel que fa a totes les qüestions relatives al tractament de les seves dades personals i l’exercici dels seus drets a l’empara del present Reglament.
  5. El delegat de protecció de dades estarà obligat a mantenir el secret o la confidencialitat pel que fa a l’acompliment de les seves funcions, de conformitat amb el Dret de la Unió o dels Estats membres.
  6. El delegat de protecció de dades podrà exercir altres funcions i comeses. El responsable o encarregat del tractament ha de garantir que aquestes funcions i comesos no donin lloc a conflicte d’interessos.

Serveis de Delegat de Protecció de Dades extern DPD

SETEMCAT els ofereix el servei de DPD extern per tal d’adaptar el tractament d’informació del client al compliment del RGPD i LOPDGDD i la seva normativa de desenvolupament. En concret, els treballs a portar a terme per SETEMCAT són:

Identificació de les bases jurídiques dels tractaments a què obliga la normativa vigent, incloent tant les mesures tècniques com les organitzatives. Entre les mesures de seguretat exigides per al compliment del LOPDGDD / RGPD, cal destacar:

  • Valoració de compatibilitat de finalitats diferents de les que van originar la recollida inicial de les dades.
  • Existència de normativa sectorial que pugui determinar condicions de tractament específiques diferents de les establertes per la normativa general de protecció de dades.
  • Disseny i implantació de mesures d’informació als afectats pels tractaments de dades.
  • Establiment de mecanismes de recepció i gestió de les sol·licituds d’exercici de drets per part dels interessats.
  • Valoració de les sol·licituds d’exercici de drets per part dels interessats.
  • Supervisió dels encarregats de tractament, inclòs el contingut dels contractes o actes jurídics que regulen la relació responsable-encarregat.
  • Identificació dels instruments de transferència internacional de dades adequades a les necessitats i característiques de l’organització i de les raons que justifiquin la transferència.
  • Disseny i implantació de polítiques de protecció de dades.
  • Auditoria continuada de protecció de dades.
  • Establiment i gestió dels registres d’activitats de tractament.
  • Anàlisi de risc dels tractaments realitzats.
  • Implantació de les mesures de protecció de dades des del disseny i protecció de dades per defecte adequades als riscos i naturalesa dels tractaments.
  • Implantació de les mesures de seguretat adequades als riscos i naturalesa dels tractaments.
  • Establiment de procediments de gestió de violacions de seguretat de les dades, inclosa l’avaluació del risc per als drets i llibertats dels afectats i els procediments de notificació a les autoritats de supervisió i als afectats.
  • Determinació de la necessitat de realització d’avaluacions d’impacte sobre la protecció de dades.
  • Realització d’avaluacions d’impacte sobre la protecció de dades si escau.
  • Relacions amb les autoritats de supervisió.
  • Implantació de programes de formació i sensibilització del personal en matèria de protecció de dades.
  • Realització d’informes de recomanacions tècniques.