¿Qué es un DPD?
Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.
En la Guía del Reglamento General de Protección de Datos para responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el delegado de protección de datos.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
La evaluación de los conocimientos y capacidades técnicas o profesionales se llevará a
cabo mediante la realización de un examen, con las siguientes características:
-
- El examen versará sobre los temas relativos a los conocimientos específicos indicados en el programa del Esquema y que son los siguientes:
-
Dominio 1 NORMATIVA GENERAL DE PROTECCIÓN DE DATOS.
Cumplimiento normativo del reglamento europeo, normativa nacional, directiva
europea sobre ePrivacy. Directrices y guías del GT art.29, etc.
Ponderación: 50%.
-
Dominio 2 RESPONSABILIDAD ACTIVA.
Evaluación y gestión de riesgos de tratamientos de datos personales; evaluación de impacto de protección de datos, protección de datos desde el diseño, protección de datos por defecto, etc.
Ponderación: 30%.
-
Dominio 3 TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE LA NORMATIVA DE
PROTECCIÓN DE DATOS Y OTROS CONOCIMIENTOS.
Auditorías de seguridad, auditorías de protección de datos, etc.
Ponderación: 20%.
-
- Es requisito imprescindible para la obtención del certificado la superación del
examen. El objetivo del examen es evaluar los conocimientos teórico-prácticos de un
solicitante para realizar funciones de Delegado de Protección de Datos.
-
- El examen engloba una prueba que consta de 150 preguntas tipo test de respuesta
múltiple, siendo necesario para su aprobación haber superado el 75%. El 20% de las
preguntas, es decir, 30 preguntas, describirán un escenario práctico (de carácter
normativo, organizativo y/o técnico) sobre el que versará la pregunta.
-
- Las preguntas están distribuidas en cada uno de los correspondientes bloques o
dominios del programa conforme a la siguiente ponderación:
-
- Dominio 1 – 50%, 75 preguntas, de ellas 15 con escenario.
-
- Dominio 2 – 30%, 45 preguntas, de ellas 9 con escenario.
-
- Dominio 3 – 20%, 30 preguntas, de ellas 6 con escenario.
-
- Las preguntas tendrán cuatro opciones de respuesta, de las cuales solo una será
válida. Cada respuesta correcta contará como 1 punto. No se puntúan las preguntas
cuya respuesta es incorrecta o se deja en blAC ANFo. Se requiere, pues, para su
aprobación haber obtenido, al menos, 112,5 puntos.
-
- La duración del examen es de cuatro horas.
-
- El resultado de la prueba de evaluación comportará la valoración de “apto” o “no
apto” en cada convocatoria.
-
- Cada entidad de certificación llevará a cabo las convocatorias que estime oportunas,
y deberá comunicar su fecha de celebración a la AEPD con una antelación de tres
meses.
Cuando se hace una formación en un Centro certificado según el esquema oficial de la Agencia Española de Protección de Datos, y se pasa el examen oficial en la entidad Certificadora con el resultado de Apto.
Previa petición y aceptando el código ético se le asignará por la AEPD un número identificativo intrasferible, y que será utilizado en el futuro para su identificación.
¿Es obligatoria la figura del DPD?
La norma no precisa los casos en los que será necesario contratar con el DPO a través determinar una cantidad de datos tratados, personas afectadas por el tratamiento o el ámbito de los mismos, sino que ofrece una descripción general de los supuestos en que será obligatorio.
Por ello, para ofrecer algo de luz a las empresas en esas zonas grises, la Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan algo más los conceptos a los que se refiere el Regalmento.
Tres supuestos de designación obligatoria
El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El GP29 recomienda, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.
"Actividades principales"
Cuando los dos segundos apartados se refieren a las "actividades principales del responsable o el encargado del tratamiento" hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
"A gran escala"
El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es "a gran escala". El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegada.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es "a gran escala" son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcAC ANFe geográfico de la actividad del tratamiento.
"Seguimiento regular y sistemático"
Por "seguimiento" debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
Al hablar de "regular" se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por "sistemático", el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.
No puede ser despedido ni recibir instrucciones
El Reglamento otorga un papel muy relevante al delegado en el seno de las empresas y, además, lo blinda para convertirlo en una auténtica figura de control interno.
En este sentido, los datos de contacto del DPO deben ser públicos para que cualquier interesado o el organismo de supervisión pueda contactar con él de forma fácil, directa y confidencial, sin que esta comunicación trascienda en la organización.
La empresa, además, deberá proveerle de los "recurso necesarios", en tendido en sentido amplio: que tenga el tiempo suficiente para cumplir sus funciones; que reciba el apoyo adecuado en cuanto a recursos económicos, infraestructuras y personal; que tenga acceso a otros servicios y departamentos (el archivo de recursos humanos, por ejemplo); y, además, que se le dote de formación continua para mantener su "conocimiento experto".
En el ejercicio de sus funciones, el DPO no podrá recibir ninguna instrucción (ya sea un trabajador de la empresa u organización o no) y, además, no podrá ser despedido o sAC ANFionado por el ejercicio de las mismas. El concepto "sAC ANFión" debe entenderse en sentido amplio: están prohibidas tanto las directas como las indirectas (la dilación de un ascenso, por ejemplo); también la mera amenaza de la misma.
El Reglamento no especifica cómo y cuándo puede ser despedido el delegado, por ello el GP29 aconseja realizar un contrato lo más estable posible, que lo dote de las máximas garantías frente a la calificación de improcedente.
Fuente: http://www.eleconomista.es/legislacion/noticias/8209768/03/17/Que-empresas-tendran-que-contratar-un-delegado-de-proteccion-de-datos.html
La Agencia Española de Protección de Datos especifica:
El Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
En principio si pues el esquema lo que exige es que se haya recibido una formación según el esquema y los contenidos y con la duración adecuada a la experiencia previa sobre protección de Datos.
Lo que si entendemos que la formación recibida si tiene que haber sido recibida en un Centro que se encuentre certificado según el esquema, y como es el caso de AUDIPRODAT.
Por otro lado mencionar que para trabajar como externo para una organización a nuestro modo de entender se ha de contar con el número de identificación intransferible, pues es una garantía de competencia profesional certificada como del ejercicio de la mencionada competencia.
Depende de la oferta pública, pero lo que si obliga a que cada Administración pública cuente con un Delegado de protección de datos.
Y la normativa específica que esta figura puede ser de plantilla o externa.
Por lo que entendemos que las administraciones habilitarán la forma de contar con esta figura, lo que, si es seguro al objeto de salvaguardar el bien general que deberá estar en posesión del número de identificación personal e intransferible otorgado por la Agencia Española de Protección de Datos según su esquema