Tareas del Delegado de Protección de Datos

tareas funciones
0

Supongo que habrás oído hablar del Delegado de Protección de Datos (DPO).

Pero, ¿sabes cuál es su función dentro de la empresa?

En este post te lo cuento.

¿Qué dice el RGPD?

El RGPD proporciona una importante protección para la figura del Delegado de Protección de Datos dentro de las empresas con el objetivo de salvaguardar su independencia.

Los delegados deberán participar en todas las cuestiones relativas a protección de datos que surjan dentro de la entidad.

Además tendrán acceso a los recursos de la propia entidad. No recibirá ninguna instrucción en lo que se refiere al ejercicio de sus funciones y se le garantiza la formación.

El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Por lo que respecta a su seguridad como empleado se indica que no “será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”.

Supervisión del cumplimiento del RGPD

supervision-dpo-rgpd

 

El apartado 1, letra b), del artículo 39 confía a los Delegados de Protección de Datos, entre otras funciones, la obligación de supervisar el RGPD.

La UE especifica además que el DPO “debería ayudar al responsable del tratamiento al cumplimiento interno del presente Reglamento”.

Como parte de estas funciones para supervisar el cumplimiento, los DPO pueden, en particular:

  • Recopilar información para identificar las actividades de elaboración.
  • Analizar y verificar el cumplimiento de las actividades de elaboración.
  • Informar, aconsejar y emitir recomendaciones al controlador o al procesador.

El monitoreo del cumplimiento no significa que sea el DPO quien es personalmente responsable, solo es una instancia de incumplimiento.

El RGPD deja claro que es el responsable, no el DPO. Este únicamente está obligado a aplicar medidas técnicas y organizativas apropiadas para garantizar y para demostrar que el tratamiento se realiza de conformidad con el presente Reglamento.

El cumplimiento de la protección es una responsabilidad corporativa del responsable del tratamiento, no del DPO.

La función del DPO en una evaluación del impacto de la protección de datos

De conformidad con el artículo 35 del RGPD, corresponde al responsable del tratamiento, y no al DPO, realizar una evaluación del impacto de la protección de datos (EIPD).

Sin embargo, el DPO puede jugar un papel muy importante y útil en ayudar al controlador.

Siguiendo el principio de protección de datos por diseño, se exige específicamente que el responsable del tratamiento solicite asesoramiento al DPO para realizar esa evaluación.

El artículo 39, a su vez, asigna al DPO la obligación de vigilar su funcionamiento.

La UE recomienda que el responsable del tratamiento recurra al asesoramiento del DPO sobre las siguientes cuestiones:

  • Realizar o no una EIPD.
  • Qué metodología seguir cuando se lleva a cabo una EIPD.
  • Si debe llevar a cabo la EIPD en la empresa o si debe subcontratarla.
  • Qué salvaguardias (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto de la protección de datos ha sido o no correctamente realizada y si sus conclusiones (o no seguir adelante con el procesamiento y qué salvaguardas aplicar) están en conformidad con el RGPD.

Si el controlador no está de acuerdo con el asesoramiento proporcionado por el DPO, debe justificar por escrito por qué no se ha tenido en cuenta el asesoramiento.

evaluacion-impacto-dpo

 

Se recomienda además que el responsable especifique claramente, por ejemplo en el contrato del DPO, y también en la información proporcionada a los empleados, a la dirección (y otras partes interesadas, cuando proceda), las tareas precisas del DPO y su alcance, en particular en lo que respecta a la realización del DPIA.

Enfoque basado en el riesgo

El RGPD exige que el DPO tenga debidamente en cuenta el riesgo teniendo en cuenta la naturaleza, el alcance, el contexto y los objetivos de la transformación.

Este nos recuerda un principio general y de sentido común, que puede ser relevante para el trabajo cotidiano de un DPO.

En esencia, se exige que los DPO prioricen sus actividades sobre los temas que presentan mayores riesgos de protección de datos. Esto no significa que deban descuidar el control de la conformidad de las operaciones de tratamiento de datos que tienen un nivel comparativamente más bajo de riesgos. Pero sí indica que deberían concentrarse, principalmente, en las áreas de mayor riesgo.

Este enfoque selectivo y pragmático debería ayudar a los Delegados de Protección de Datos a informar al responsable en:

  • la realización de una EIPD, cuyas zonas deben estar sujetas a una protección de datos interna o externa,
  • las actividades de formación interna para proporcionar al personal o la dirección responsable de los datos y
  • las actividades de transformación y las operaciones de tratamiento para dedicar más tiempo y recursos.

Función del DPO en el mantenimiento de registros

En virtud del artículo 30, es el responsable del tratamiento o el procesador, y no el DPO, quien debe mantener un registro de operaciones de procesamiento bajo su responsabilidad o mantener un registro de todas las categorías de actividades de transformación llevadas a cabo por cuenta de un responsable del tratamiento.

En la práctica, los DPO suelen crear inventarios y mantener un registro de las operaciones de información facilitada por los distintos departamentos de su organización responsable del tratamiento de datos personales.

Esta práctica se ha establecido en virtud de muchas de las leyes y con arreglo a las normas de protección de datos aplicables a las instituciones y organismos de la UE.

El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. Por lo que respecta a su seguridad como empleado se indica que no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.

El apartado 1 del artículo 39 establece una lista de tareas que el DPO debe tener como mínimo.

Por lo tanto, nada impide que el responsable del tratamiento asigne al DPO la tarea de mantener el registro de las operaciones de transformación bajo la responsabilidad de aquel.

Este registro debería ser considerado como una de las herramientas que permiten al DPO realizar sus tareas de supervisión del cumplimiento, informando y asesorando al controlador o al procesador.

En cualquier caso, el registro que debe mantenerse en virtud del artículo 30 también debe considerarse como un control. Y la autoridad supervisora, previa solicitud, dispondrá de una visión general de todos los datos y actividades de procesamiento que una organización está llevando a cabo.

Por lo tanto, es un requisito previo para una eficaz de rendición de cuentas.

¿Cuál es la posición del DPO en la empresa?

Ya sea en el caso del responsable o del encargado del tratamiento, el DPO deberá ser designado y tener una posición de manera que, por lo que se refiere a sus funciones, pueda reportar directamente al más alto nivel jerárquico.

De lo que se trata es de que el DPD tenga garantizado que pueda desempeñar sus funciones de manera independiente, sin injerencia alguna. Y de que el responsable o el encargado del tratamiento que lo haya designado garanticen que:

  • Participe de forma adecuada en todas las cuestiones relativas a la protección de datos personales
  • Tenga los recursos necesarios para el desempeño de sus funciones. Incluyendo el acceso necesario a los datos personales y a los tratamientos que se lleven a cabo
  • Pueda mantener sus conocimientos especializados en materia de protección de datos personales
  • No reciba ninguna instrucción en el desempeño de sus funciones
  • En caso de que desempeñe otras funciones y cometidos no den lugar a un conflicto de interés. Ya sea, por ejemplo, por la imposibilidad de realizar sus funciones de manera adecuada o porque tome decisiones sobre el tratamiento de los datos personales. Lo que implicaría que ya no pueda supervisar el cumplimiento en materia de protección de datos personales.

Este estatuto jurídico del DPO implica también que el mismo no pueda ser despedido por el desempeño de sus funciones. Sin perjuicio de que el despido o la rescisión de su contrato sea procedente si comete alguna infracción que sí sea sancionable por cualquier otro motivo.

 

Tareas del Delegado de Protección de Datos
4.3 (85.71%) 7 votos