Servicio Delegado de Protección DPD

Servicio Delegado de Protección DPD 2018-03-06T10:00:00+00:00

SERVICIO DELEGADO DE PROTECCIÓN DE DATOS (DPD) O DATA PROTECTION OFFICER (DPO)

El Reglamento General de Protección de Datos, introduce una nueva figura con funciones específicas y máxima responsabilidad junto con los Responsables y Encargados de tratamiento.

El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de servicios.

Designación del Delegado de Protección de Datos DPD

El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD en tres supuestos:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que, por razones de su naturaleza, alcance y/o fines, requieran un seguimiento regular y sistemático de los interesados a gran escala
  • Cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos

Esta figura también puede ser designada de manera voluntaria por cualquier entidad que no se encuentre dentro de estos supuestos, para ayudar en el cumplimiento de la normativa.

Por otra parte, en el anteproyecto de la LOPD, especifica algunos casos concretos en los que también será necesario designar un Delegado de Protección de Datos.

  1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
  2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
  4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
  7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras
  8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
  15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada

Nombramiento del Delegado de Protección de Datos DPD

El nombramiento del Delegado de Protección de Datos lo realizará el Responsable o el Encargado del tratamiento.

Su identidad será comunicada a la autoridad de control (Agencia Española de Protección de Datos) y al público en general ya que, los interesados tienen la posibilidad de ponerse en contacto directo con el Delegado de Protección de Datos para consultar cualquier consulta referida al tratamiento de sus datos personales o llevar a cabo los derechos que les corresponda.

Obligaciones del Delegado de Protección de Datos DPD

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que indica el Reglamento
  2. Supervisar el cumplimiento de la normativa y otras disposiciones relativas a la de protección de datos y las auditorías correspondientes
  3. Concienciación y formación del personal que participa en las operaciones de tratamiento.
  4. Colaborar en evaluación de impacto relativa a la protección de datos y supervisar su aplicación
  5. Cooperar con la autoridad de control y actuar como punto de contacto entre la misma y la empresa

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Posición del Delegado de Protección de Datos DPD

  1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
  5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Servicios de Delegado de Protección de Datos externo DPD

SETEMCAT les ofrece el servicio de DPD externo con el fin de adaptar el tratamiento de información del cliente al cumplimiento del RGPD y su normativa de desarrollo. En concreto, los trabajos a llevar a cabo por SETEMCAT son:

  • Identificación de las bases jurídicas de los tratamientos al que obliga la normativa vigente, incluyendo tanto las medidas técnicas como las organizativas. Entre las medidas de seguridad exigidas para el cumplimiento del RDLOPD/ RGPD, cabe destacar.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Supervisión de los encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Auditoría continuada de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento.
  • Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos si procede.
  • Relaciones con las autoridades de supervisión.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos
  • Realización de informes de recomendaciones técnicas.