SERVICIO DELEGADO DE PROTECCIÓN DE DATOS (DPD) O DATA PROTECTION OFFICER (DPO)

Designación del Delegado de Protección de Datos DPD

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica.

El art. 34 de la LOPDGDD, indica que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
  • Las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
  • También habrán de designarlo cuando así lo establezca el derecho de la Unión o de los Estados Miembro

Esta figura también puede ser designada de manera voluntaria por cualquier entidad que no se encuentre dentro de estos supuestos, para ayudar en el cumplimiento de la normativa.

Además, la LOPDGDD especifica las entidades las cuales también serán objeto de dicha obligación:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo, tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Nombramiento del Delegado de Protección de Datos DPD

El nombramiento del Delegado de Protección de Datos lo realizará el Responsable o el Encargado del tratamiento.

Su identidad será comunicada a la autoridad de control (Agencia Española de Protección de Datos) y al público en general ya que, los interesados tienen la posibilidad de ponerse en contacto directo con el Delegado de Protección de Datos para consultar cualquier consulta referida al tratamiento de sus datos personales o llevar a cabo los derechos que les corresponda.

Obligaciones del Delegado de Protección de Datos DPD

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que indica el Reglamento
  2. Supervisar el cumplimiento de la normativa y otras disposiciones relativas a la de protección de datos y las auditorías correspondientes
  3. Concienciación y formación del personal que participa en las operaciones de tratamiento.
  4. Colaborar en evaluación de impacto relativa a la protección de datos y supervisar su aplicación
  5. Cooperar con la autoridad de control y actuar como punto de contacto entre la misma y la empresa

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Posición del Delegado de Protección de Datos DPD

  1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
  5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Servicios de Delegado de Protección de Datos externo DPD

SETEMCAT les ofrece el servicio de DPD externo con el fin de adaptar el tratamiento de información del cliente al cumplimiento del RGPD y LOPDGDD y su normativa de desarrollo. En concreto, los trabajos a llevar a cabo por SETEMCAT son:

Identificación de las bases jurídicas de los tratamientos al que obliga la normativa vigente, incluyendo tanto las medidas técnicas como las organizativas. Entre las medidas de seguridad exigidas para el cumplimiento del LOPDGDD/ RGPD, cabe destacar:

  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
  • Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Supervisión de los encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
  • Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Auditoría continuada de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento.
  • Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos si procede.
  • Relaciones con las autoridades de supervisión.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos
  • Realización de informes de recomendaciones técnicas.