Normativa que regula el DPO en España

ley españa delegado proteccion datos
0

Desde el pasado mes de diciembre, España cuenta con una nueva norma que se adapta a los cambios de los últimos años en la Sociedad Digital y a la nueva normativa de Protección de Datos.

¿Sabes cuáles son las claves de la nueva Ley de Protección  de Datos Personales y garantía de los derechos digitales? ¿en qué te afecta?

Conoce más en este post.

LOPD

La LOPD de 1999 no regula la figura del Delegado de Protección de Datos. Únicamente habla del Responsable de Seguridad como persona o personas de la organización a las que el responsable del fichero ha atribuido formalmente la tarea de coordinar e inspeccionar las medidas de seguridad aplicables.

Como podemos ver,  la Ley indica que el responsable de seguridad puede ser una o varias personas de la empresa. Y no admite, como en el caso del responsable del fichero o del encargado del tratamiento, que sea una persona jurídica.

El encargado del tratamiento que es el que suele producir más confusión al tratar de colocarle en el lugar que le corresponde. A primera vista puede entenderse que el encargado del tratamiento es quien realice éste, tanto dentro como fuera de la propia empresa. Sería en definitiva dentro de la organización la figura que conocemos como Director de Informática o Director de Sistemas de Información.

Según la definición establecida sobre el encargado del tratamiento esto sería posible.

Funciones del Responsable de Seguridad

responsable-seguridad-principales-funciones

Al analizar el artículo 12 dedicado al acceso a los datos por cuenta de terceros, que es el único que recoge las funciones del encargado del tratamiento podemos ver que el legislador ha deducido que se trata siempre de una figura externa a la organización.

Por lo que deberá existir el correspondiente contrato en el que obligatoriamente ha de constar que:

  • El encargado del tratamiento únicamente tratará los datos de acuerdo con las instrucciones del responsable del tratamiento.
  • No los aplicará o utilizará con una finalidad distinta a la que aparezca en dicho contrato.
  • No los cederá, ni siquiera para su conservación a otras personas.
  • Tiene la obligación de implantar las medidas de seguridad a que se refiere el artículo 9 de la LOPD.

Teniendo en cuenta el uso, cada día mayor, por las organizaciones de la externalización de los trabajos esta figura alcanza cada vez mayor relieve.

Es tal la importancia que se da a la figura del encargado del tratamiento, que es el único supuesto previsto en la Ley en que alguien asume la responsabilidad que le corresponda, en lugar del responsable del fichero, por las infracciones que se cometan.

Así, si el encargado del tratamiento utiliza los datos para otra finalidad diferente de la encargada, los comunica o los usa incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento. Respondiendo personalmente de las infracciones que hubiera cometido.

Estimamos pues que el encargado del tratamiento siempre ha de ser una figura externa a la organización ligada a ésta necesariamente por el correspondiente contrato.

Nueva LOPDGDD

El pasado mes de diciembre se aprobó la nueva Ley de Protección de Datos Personales y garantía de los derechos digitales que se adapta a la normativa europea sobre esta cuestión y que, desde el pasado mes de mayo de 2018, es de obligado cumplimiento para los estados miembros de la Unión Europea.

En esta nueva ley se regula la figura del DPO por primera vez en España. Y se desarrolla lo previsto en el RGPD sobre la misma.

¿Qué novedades trae esta normativa en nuestro país y cómo afecta a empresas, internautas y administraciones?

Estas son algunas de las claves más destacadas desde el punto de vista de las empresas.

1- Desconexión digital

Una de las novedades más destacadas de la nueva LOPDGDD es el reconocimiento al derecho a la desconexión digital, presente en el artículo 88 de la norma. Y que establece que “los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar”.

Este derecho, que ya ha sido reconocido en otros países como Francia, apuesta por la negociación en el ámbito de la empresa y prima aspectos tan importantes como la conciliación familiar o los riesgos de la fatiga informática, incluido en aquellos supuestos en los que el empleado trabaje desde casa.

2- Videovigilancia y grabación de sonidos

También en el terreno laboral, la Ley Orgánica fija, en su artículo 89, la obligación de informar a los empleados de la utilización de sistemas de videovigilancia o de grabación de sonido. Así como la prohibición de instalarlos en zonas destinadas al descanso o de uso privado de los trabajadores.

En el caso del registro de sonido o grabaciones, solo se entenderá justificado cuando sirvan para demostrar la comisión de un delito o de un acto ilícito. No para vulnerar el derecho a la intimidad de las personas.

3- Geolocalización

Otro de los supuestos que contempla la LOPDGDD en el ámbito de la relación de empresas y trabajadores es el referido a los sistemas de geolocalización.

Según la normativa, en su artículo 90, las empresas tienen derecho a utilizar estos sistemas y los datos que generen. Pero solo previa comunicación y acuerdo con los trabajadores.

Y dentro del horario de trabajo para no colisionar con el derecho a la desconexión digital.

4- Listado de empresas que necesitan un DPO

El concepto jurídico indeterminado de “gran escala”, previsto en el RGPD, dejó una gran inseguridad jurídica. La nueva LOPD ha intentado solucionarlo detallando ahora un amplio listado de todos los obligados a designar un DPD (artículo 34).

Además, la LOPDGDD incluye varias remisiones a diferentes leyes sectoriales que amplían notablemente el número de obligados.

Por el momento se aprecia una preocupante falta de información en esta materia.

Se está debatiendo mucho sobre la utilización de datos personales por los partidos políticos, por ejemplo. Pero hay multitud de empresas y profesionales afectados que no saben que tienen esta nueva obligación, que ya está vigente.

A diferencia del reglamento europeo, la LOPDGDD afecta directamente a muchas Pymes y autónomos. Porque la nueva ley regula esta obligación de nombrar DPD en función del tipo de actividad que se realice, sin importar el tamaño, el número de empleados o el volumen de facturación de cada empresa.

Conclusión

Las organizaciones disponen de un año por delante para ir adecuando progresivamente sus procesos internos a los requisitos del Reglamento General de Protección de Datos. Este periodo debe aprovecharse para adaptar las medidas jurídicas, técnicas y organizativas, de manera que las entidades incorporen de manera efectiva las cuestiones que garanticen el cumplimiento de la nueva regulación europea en materia de protección de datos.

Y en nuestro país ya tenemos la Ley que adapta el RGPD. Y que regula la figura del Delegado de Protección de Datos.

Normativa que regula el DPO en España
4.9 (97.14%) 7 votos

Related Blogs