Las Universidades están obligadas a nombrar un Delegado de Protección de Datos según la LOPDGDD.
En el RGPD no se especifican los casos concretos pero sí indica que todos los organismos y entidades públicas deben designar un DPD.
Pos eso las Universidades públicas deben nombrarlo. Y también, en el caso de las privadas, porque pueden realizar una observación a gran escala de los estudiantes. O tratar grandes cantidades de datos sensibles a gran escala para investigación biomédica, por ejemplo.
La Universidad debe designar como DPD a una persona de su plantilla que cumpla los requisitos necesarios para ejercer como tal o puede nombrar a alguien externo.
En general, el DPD, que debe ser una persona con experiencia demostrable en materia de Protección de Datos y conocimiento de la normativa, tiene la función de ayudar a la Universidad en su obligación de cumplir el RGPD.
De forma específica, el DPD debe realizar las siguientes funciones dentro de la Universidad.
El DPD debe asegurarse de que la Universidad disponga del consentimiento de todos sus alumnos y empleados para poder tratar sus datos personales.
En el caso de los alumnos, tendrá que verificar que se ha solicitado el consentimiento para la publicación de fotografías en redes sociales o web de la Universidad así como para recibir comunicaciones a través de WhatsApp, en caso de que el centro utilice ese tipo de sistemas de mensajería.
El DPD debe también revisar todos los tratamientos que se realicen en la Universidad sobre gestión, docencia e investigación.
Comprobará que todos esos tratamientos se realizan conforme a lo exigido por la normativa. La Universidad solo puede tratar esos datos si tiene una legitimación válida para hacerlo y debe registrar los tipo de datos tratados, los afectados, destinatarios, finalidad y plazo de conservación.
Para que esos tratamientos sean legales, el DPD asesorará a los responsables sobre cómo deben efectuarlos.
Entre las funciones del DPD está también la revisión del cumplimiento de los principios exigidos por la normativa de Protección de datos. Es decir, comprobará que se informa correctamente a todos los interesados sobre el tratamiento de sus datos personales.
También debe asegurar el cumplimiento del principio de responsabilidad proactiva por parte de la Universidad. En este caso es obligatorio que la Universidad adopte las medidas de seguridad necesarias para proteger toda la información personal que maneja. Por ejemplo, debe existir un control de acceso para evitar accesos no autorizados, proteger los ordenadores con contraseñas, instalar antivirus o guardar la información en papel bajo llave.
También hará recomendaciones a la Universidad y a sus empleados para corregir todos los fallos que vea y que afecten a la correcta protección de esos datos personales. Aconsejará la aprobación por la Universidad de una política interna de seguridad de la información y un procedimiento para comunicar cualquier incidente de seguridad que se produzca, en caso de que no lo tenga.
Es necesario realizar un análisis de los tratamientos realizados para determinar los posibles riesgos existentes para la protección de los datos y comprobar que se estén aplicando los procedimientos necesarios para eliminar esos riesgos.
El DPD también debe establecer:
El DPD puede comunicarse con la AEPD sin necesidad de supervisión por parte de la Universidad.
Se asegurará de que todas las brechas de seguridad sean notificadas a la AEPD. Y actuará como enlace en caso de que la AEPD deba comunicarse con la Universidad.
Su identidad debe comunicarse a la AEPD para incluirlo en el Registro de Delegados de Protección de datos llevado por la entidad.
Le corresponde también al DPD realizar cursos u otras actividades de formación para los empleados de la Universidad en temas de Protección de datos. Con ello los empleados conocerán sus obligaciones en esta materia y serán conscientes de la importancia de su cumplimiento.