miércoles, 12 de febrero de 2014

Relación del Delegado de Protección de Datos con el responsable o encargado que le designe

Al respecto del tipo de relación jurídica entre el Delegado de Protección de Datos y el Responsable o Encargado de que le designe, la Propuesta de Reglamento general de protección de datos del Parlamento Europeo y el Consejo señala en el apartado 8 del artículo 35 que:

El delegado de protección de datos podrá ser empleado por el responsable o el encargado del tratamiento o desempeñar sus tareas sobre la base de un contrato de servicios.

Por tanto este Delegado podrá mantener una relación laboral o mercantil, a elegir según le convenga al Responsable o Encargado.

Ahora que, al mismo tiempo, y según se indica en el apartado 6 del citado artículo:

El responsable o el encargado del tratamiento velarán por que cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de datos y no planteen conflictos de intereses.

Por otra parte el artículo 36, Función de delegado de protección de datos, marca de forma clara el carácter independiente del puesto en los tres apartados que lo componen:

1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.
2. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento.
3. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 37.

Finalmente, y como refuerzo aún mayor de esta independencia, el artículo 35 marca en su apartado 7 la temporalidad mínima de la designación:

El responsable o el encargado del tratamiento designarán un delegado de protección de datos para un mandato mínimo de dos años. El delegado de protección de datos podrá ser nombrado para nuevos mandatos. Durante su mandato, el delegado de protección de datos solo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones.

miércoles, 19 de junio de 2013

Tareas del Delegado de Protección de Datos

Dentro de la Propuesta de Reglamento general de protección de datos del Parlamento Europeo y el Consejo, se señala en su Artículo 37 cuáles son las tareas del Delegado de Protección de Datos (DPD). Concretamente el responsable o el encargado del tratamiento encomendarán al DPD, como mínimo, las siguientes tareas.

Tareas Delegado Protección Datos


a) Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas

En una muestra más de la independencia y responsabilidad que caracteriza el ejercicio de sus funciones, el DPD deberá generar y guardar toda la documentación relativa a su asesoramiento. Este material sería de trascendental importancia en caso de conflicto al intentar clarificar las responsabilidades sobre una acutación negligente en materia de privacidad.

b) Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes

Formación interna y auditorías, dos elementos claves en políticas de privacidad.

c) Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento

Es decir, supervisión desde el minuto inicial de cualquier tratamiento de datos, incluso en el diseño de aplicaciones. Especial atención a los derechos de los ciudadanos.

d) Velar por la conservación de la documentación contemplada en el artículo 28

La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad.

e) Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32

Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados.

f) Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34

Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines,

g) Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia
h) Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia

Es por tanto intermediario en todas las comunicaciones entre responsable del fichero y las autoridades de control, manteniendo potestad de actuar a iniciativa propia.


viernes, 7 de junio de 2013

La nueva figura del Delegado de Protección de Datos

La figura en el mundo anglosajón:
Data Proteccion Officer (DPO)
El Delegado de Protección de Datos es una nueva figura que aparece en la Propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). Concretamente se desarrolla en el Capítulo IV, Sección 4, artículos 35, 36 y 37.

El Artículo 35, Designación del delegado de protección de datos, indica que se designará siempre que:
a) el tratamiento sea llevado a cabo por una autoridad u organismo públicos; o
b) el tratamiento sea llevado a cabo por una empresa que emplee a doscientas cincuenta personas o más; o
c) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.
Esta disposición se fundamenta en el artículo 18, apartado 2, de la Directiva 95/46/CE, que establecía la posibilidad de que los Estados miembros introdujesen este requisito en lugar de una obligación general de notificación.

El Artículo 36, Función de delegado de protección de datos, especifica su posición respecto al responsable del fichero y el marco de su actuación profesional.

Finalmente, el artículo 37, Tareas del delegado de protección de datos, especifica los trabajos concretos que se han de realizar.

Sobre la cualificación profesional necesaria no se hacen indicaciones concretas, lo que resulta lógico al tratarse de una materia que aúna diferentes disciplinas, desde los conocimientos en derecho hasta las nuevas tecnologías. Lo que sí se indica es que "El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento."

Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y tareas con independencia, sin recibir instrucciones en lo que respecta el ejercicio de sus funciones.

También es importante considerar que su identidad y datos de contacto deben ser públicos, puesto que tal información es uno de los derechos de los implicados cuando se recogen sus datos personales.