Tareas del Delegado de Protección de Datos

tareas funciones
0

El RGPD proporciona una importante protección para la figura del Delegado de Protección de Datos dentro de las empresas con el objetivo de salvaguardar su independencia. Los delegados deberán participar en todas las cuestiones relativas a protección de datos que surjan dentro de la entidad. Además tendrán acceso a los recursos de la propia entidad, no recibirá ninguna instrucción en lo que se refiere al ejercicio de sus funciones y se le garantiza la formación.

El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Por lo que respecta a su seguridad como empleado se indica que no “será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”.

Supervisión del cumplimiento del RGPD

El apartado 1, letra b), del artículo 39 confía a los Delegados de Protección de Datos, entre otras funciones, la obligación de supervisar el GDPR. La UE especifica además que el DPO “debería ayudar al responsable del tratamiento al cumplimiento interno del presente Reglamento”.

Como parte de estas funciones para supervisar el cumplimiento, los DPO pueden, en particular:

  • recopilar información para identificar las actividades de elaboración,
  • analizar y verificar el cumplimiento de las actividades de elaboración, y
  • informar, aconsejar y emitir recomendaciones al controlador o al procesador.

El monitoreo del cumplimiento no significa que sea el DPO quien es personalmente responsable, solo es una instancia de incumplimiento. El GDPR deja claro que es el responsable, no el DPO, quien está obligado a aplicar medidas técnicas y organizativas apropiadas para garantizar y para demostrar que el tratamiento se realiza de conformidad con el presente Reglamento.

El cumplimiento de la protección es una responsabilidad corporativa del responsable del tratamiento, no del DPO.

La función del DPO en una evaluación del impacto de la protección de datos

De conformidad con el apartado 1 del artículo 35, corresponde al responsable del tratamiento, y no al DPO, realizar una evaluación del impacto de la protección de datos (DPIA). Sin embargo, el DPO puede jugar un papel muy importante y útil en ayudar al controlador. Siguiendo el principio de protección de datos por diseño, se exige específicamente que el responsable del tratamiento «solicite asesoramiento» al DPO para realizar esa evaluación.

El artículo 39 (1) (c), a su vez, asigna al DPO la obligación de vigilar su funcionamiento.

La UE recomienda que el responsable del tratamiento recurra al asesoramiento del DPO sobre las siguientes cuestiones,

  • realizar o no un DPIA
  • qué metodología seguir cuando se lleva a cabo un DPIA
  • si llevar a cabo la DPIA en la empresa o si debe subcontratarla
  • qué salvaguardias (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar riesgos para los derechos e intereses de los interesados
  • si la evaluación del impacto de la protección de datos ha sido o no correctamente realizada y si sus conclusiones (o no seguir adelante con el procesamiento y qué salvaguardas aplicar) están en conformidad con el GDPR.

Si el controlador no está de acuerdo con el asesoramiento proporcionado por el DPO, debe justificar por escrito por qué no se ha tenido en cuenta el asesoramiento.

Se recomienda además que el controlador delinee claramente, por ejemplo en el contrato del DPO, y también en la información proporcionada a los empleados, a la dirección (y otras partes interesadas, cuando proceda), las tareas precisas del DPO y su alcance, en particular en lo que respecta a la realización del DPIA.

Esquema 4

Enfoque basado en el riesgo

El apartado 2 del artículo 39 exige que el DPO tenga debidamente en cuenta el riesgo teniendo en cuenta la naturaleza, el alcance, el contexto y los objetivos de la transformación.

Este artículo recuerda un principio general y de sentido común, que puede ser relevante para el trabajo cotidiano de un DPO. En esencia, requiere que los DPO prioricen sus actividades sobre los temas que presentan mayores riesgos de protección de datos. Esto no significa que deban descuidar el control de la conformidad de las operaciones de tratamiento de datos que tienen un nivel comparativamente más bajo de riesgos, pero sí indica que deberían concentrarse, principalmente, en las áreas de mayor riesgo.

Este enfoque selectivo y pragmático debería ayudar a los Delegados de Protección de Datos a informar al responsable en la realización de un DPIA, cuyas zonas deben estar sujetas a una protección de datos interna o externa, sobre las actividades de formación interna para proporcionar al personal o la dirección responsable de los datos y las actividades de transformación y las operaciones de tratamiento para dedicar más tiempo y recursos.

Función del DPO en el mantenimiento de registros

En virtud del artículo 30, apartados 1 y 2, es el responsable del tratamiento o el procesador, y no el DPO, deben mantener un registro de operaciones de procesamiento bajo su responsabilidad o mantener un registro de todas las categorías de actividades de transformación llevadas a cabo por cuenta de un responsable del tratamiento.

En la práctica, los DPO suelen crear inventarios y mantener un registro de las operaciones de información facilitada por los distintos departamentos de su organización responsable del tratamiento de datos personales. Esta práctica se ha establecido en virtud de muchas de las leyes y con arreglo a las normas de protección de datos aplicables a las instituciones y organismos de la UE.

El apartado 1 del artículo 39 establece una lista de tareas que el DPO debe tener como mínimo. Por lo tanto, nada impide que el controlador o el procesador asignen al DPO la tarea de mantener el registro de las operaciones de transformación bajo la responsabilidad del responsable del tratamiento. Este registro debería ser considerado como una de las herramientas que permiten al DPO realizar sus tareas de supervisión del cumplimiento, informando y asesorando al controlador o al procesador.

En cualquier caso, el registro que debe mantenerse en virtud del artículo 30 también debe considerarse como un control y la autoridad supervisora, previa solicitud, disponga de una visión general de todos los datos y actividades de procesamiento que una organización está llevando a cabo. Por lo tanto, es un requisito previo para una eficaz de rendición de cuentas.

Tareas del Delegado de Protección de Datos
4.67 (93.33%) 3 votos