La pregunta que se hace cualquier empresa que maneje datos personales, que son prácticamente todas, es ¿deberé nombrar un Delegado de Protección de Datos?
Las entidades deberán designar un DPO siempre que realicen un tratamiento de categorías especiales de datos, o bien relativos a condenas o infracciones penales.
En países de la Unión Europea como Alemania o Grecia ya existe la figura del Delegado de Protección de Datos, introducida por el nuevo Reglamento europeo de Protección de Datos.
El resto de los países miembros tienen un máximo de dos años para establecer estos profesionales de la Protección de Datos. Por lo que debemos ir pensando en contratar un Delegado de Protección de Datos si manejamos datos de carácter personal.
El RGPD establece la obligación de nombrar un Delegado de Protección de Datos para:
También en caso de que se traten a gran escala datos:
Así, hospitales o centros educativos, deberán contar con un Delegado de Protección de Datos.
En el caso de que nuestra empresa se encuentre en alguno de estos casos,
¿quién debe ser mi Delegado de Protección de Datos?
¿qué perfil profesional debe ocupar ese cargo?
El Reglamento no exige que el DPO tenga que ser miembro de la plantilla de la empresa o Administración que requiera de dichos servicios. Así, se considera que puede ser miembro del personal del responsable o procesador de los datos o realizar sus funciones sobre la base de un contrato de servicios.
Además, la norma habilita a los grupos de empresas a nombrar un sólo DPO. Así mismo, posibilita que un solo profesional preste servicio para distintas Administraciones u organismos públicos.
La Agencia considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que actúe como condición para acceder a la profesión.
El nombramiento del Delegado de Protección de Datos lo realizará el responsable del fichero o el encargado del tratamiento.
Su identidad será comunicada a la autoridad de control (Agencia Española de Protección de Datos) y al público en general.
Los interesados tienen la posibilidad de ponerse en contacto directo con el Delegado de Protección de Datos para consultar cualquier tema referido al tratamiento de sus datos personales. O hacer valer cualquier derecho que les corresponda.
El nombramiento del Delegado de Protección de Datos lo realizará el responsable del fichero o el encargado del tratamiento. En los supuestos en los que se designe un DPO para un mismo grupo empresarial o para varias autoridades y organismos públicos, resultará esencial la publicación y notificación de sus datos de contacto a los afectados y a las autoridades de control.
Por tanto, el DPO será el intermediario entre el responsable del fichero o encargado del tratamiento y la autoridad de control.
Se debe poner a su alcance toda la información y material necesarios para que éste pueda cumplir sus funciones con la mayor diligencia e independencia.
El Delegado de Protección de Datos deberá guardar secreto respecto de los datos que conozca en el ejercicio de sus funciones.
En los supuestos en los que se designe un DPO para un mismo grupo empresarial o para varias autoridades y organismos públicos, resultará esencial la publicación y notificación de sus datos de contacto a los afectados y a las autoridades de control.
En estos casos, las entidades deberán efectuar un estudio previo de la configuración organizativa y dimensión del grupo de empresas o autoridades y organismos públicos. A fin de garantizar que el DPO resulta fácilmente accesible desde cualquier emplazamiento.
Las principales razones por las que debe contratarse un Delegado de Protección de Datos son:
Nos Asesorará jurídicamente en todo lo referente al cumplimiento de la normativa de protección de datos. Y participará en la elaboración de informes exigidos por la nueva normativa (Evaluación de Impacto de la Privacidad) o en la creación de nuevos recursos que de alguna forma dañen la privacidad de los usuarios (aplicación del principio de Privacidad desde el Diseño o por Defecto).
También redactará, revisará y negociará contratos con prestadores de servicios que puedan manejar datos personales por cuenta de la empresa.
Y mantendrá a la organización al día respecto nuevas propuestas legislativas o que le afecten de modo directo o indirecto.
Implementará en nuestra empresa el principio de accountability según el cual cada persona que pertenezca a la organización, tiene que ser responsable del tratamiento de datos que lleve a cabo.
En este sentido resulta básico implantar sistemas de trazabilidad en los acuerdos de la empresa y el DPO será el responsable de plantearlas y garantizar su cumplimiento.
También tendrá obligaciones en relación a la seguridad, siendo el contacto con el departamento técnico, dirigiendo la auditoría, en caso que fuera obligatoria, y controlando las incidencias de seguridad.
Será el responsable de instruir y concienciar al personal. Así como de mantener al día las políticas de protección de datos de la empresa, según su organización vigente en cada momento y los nuevos retos que se planteen.
Intervendrá ante las posibles quejas de interesados y encabezará el razonamiento y defensa jurídica de la empresa, en caso de posibles procedimientos sancionadores.
Un Delegado de Protección de Datos externo puede ejercer otras funciones que las propias de esa figura e incluso, ser Delegado de Protección de Datos para diferentes empresas o Administraciones Públicas.
Esto es lo que puede hacer para cumplir con los requisitos del DPO de la ley GDPR.
Tu aplicación o negocio puede tener un alcance mayor de lo que te das cuenta.
Además, incluso las pequeñas empresas deben cumplir la obligación de nombrar un DPO .
Durante la consideración del reglamento, hubo un debate sobre la limitación del requisito a las empresas con más de 250 empleados.
Sin embargo, eso no sobrevivió a la aprobación de la ley y por lo tanto, incluso su reciente puesta en marcha que crea aplicaciones debe considerar las políticas de cumplimiento si el mercado y vender productos a Europa – o utilizar las plataformas que lo hacen posible.
Los datos personales se describen anteriormente como cualquier información que pueda identificar a un usuario.
Actualmente, es imposible ejecutar una aplicación o servicio de software sin recopilar estos datos.
Por lo tanto, es probable que almacene algunos de ellos.
Esto también lo convierte en un procesador , ya que la mayoría de las empresas privadas que recolectan datos caen bajo esta definición. Además de utilizar los datos, también puede incluir almacenamiento, grabación y recuperación.
Si recopila información de la tarjeta de crédito para ejecutar un servicio de suscripción, está procesando los datos.
Lo mismo ocurre si se ejecuta una aplicación de uso compartido de fotos o incluso un juego que requiere que los participantes configuren perfiles.
Y esto es todo lo que debes tener en cuenta a la hora de nombrar un DPO.