Normativa que regula el DPO en España

ley españa delegado proteccion datos
0

En nuestro país no existe aún una regulación específica del Delegado de Protección de Datos ya que, a diferencia de otros países de la UE, aquí no existe esta figura. La normativa española que regula la Protección de Datos es la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Reglamento de desarrollo de la misma (Real Decreto 1720/2007, de 21 de diciembre).

Sin embargo, como figura similar en la legislación española se regula el Responsable de Seguridad en materia de Protección de Datos.

LOPD

Como indicaba anteriormente, esta Ley no regula la figura del Delegado de Protección de Datos. Únicamente habla del Responsable de Seguridad como persona o personas de la organización a las que el responsable del fichero ha atribuido formalmente la tarea de coordinar e inspeccionar las medidas de seguridad aplicables.

Como podemos ver,  la Ley indica que el responsable de seguridad puede ser una o varias personas de la empresa y no admite, como en el caso del responsable del fichero o del encargado del tratamiento, que sea una persona jurídica.

El encargado del tratamiento que es el que suele producir más confusión al tratar de colocarle en el lugar que le corresponde.

A primera vista puede entenderse que el encargado del tratamiento es quien realice éste, tanto dentro como fuera de la propia empresa.

Sería en definitiva dentro de la organización la figura que conocemos como Director de Informática o Director de Sistemas de Información.

Según la definición establecida sobre el encargado del tratamiento esto sería posible.

Funciones del Responsable de Seguridad

Al analizar el artículo 12 dedicado al acceso a los datos por cuenta de terceros, que es el único que recoge las funciones del encargado del tratamiento podemos ver que el legislador ha deducido que se trata siempre de una figura externa a la organización por lo que deberá existir el correspondiente contrato en el que obligatoriamente ha de constar que:

  • El encargado del tratamiento únicamente tratará los datos de acuerdo con las instrucciones del responsable del tratamiento.
  • No los aplicará o utilizará con una finalidad distinta a la que aparezca en dicho contrato.
  • No los cederá, ni siquiera para su conservación a otras personas.
  • Tiene la obligación de implantar las medidas de seguridad a que se refiere el artículo 9 de la LOPD.

Teniendo en cuenta el uso, cada día mayor, por las organizaciones de la externalización de los trabajos esta figura alcanza cada vez mayor relieve.

Es tal la importancia que se da a la figura del encargado del tratamiento, que es el único supuesto previsto en la Ley en que alguien asume la responsabilidad que le corresponda, en lugar del responsable del fichero, por las infracciones que se cometan.

Así, si el encargado del tratamiento utiliza los datos para otra finalidad diferente de la encargada, los comunique o los use incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo personalmente de las infracciones que hubiera cometido.

Estimamos pues que el encargado del tratamiento siempre ha de ser una figura externa a la organización ligada a ésta necesariamente por el correspondiente contrato.

Reglamento de desarrollo de la LOPD

El Reglamento de 2007 que desarrolla la LOPD regula también el Responsable de Seguridad indicando lo siguiente:

En el documento de seguridad deberán nombrarse uno o varios responsables de seguridad encargados de coordinar y verificar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o distinto según los sistemas de tratamiento utilizados, circunstancia que deberá indicarse claramente en el documento de seguridad.

En ningún caso esta designación implica una exención de la responsabilidad atribuida al responsable del fichero o al encargado del tratamiento por este reglamento.

Entre las tareas atribuidas al responsable destacan la de analizar los informes de auditoría y comunicar al responsable del fichero las recomendaciones y medidas correctoras necesarias, mantener el control de los registros de acceso, verificación de los registros de incidencias, y actualización del documento de seguridad.

Conclusión

Las organizaciones disponen de un año por delante para ir adecuando progresivamente sus procesos internos a los requisitos del Reglamento General de Protección de Datos. Este periodo debe aprovecharse para adaptar las medidas jurídicas, técnicas y organizativas, de manera que, al llegar la fecha de su efectiva aplicación en mayo de 2018, las entidades hayan finalizado el proceso progresivo de adecuación y hayan incorporado de manera efectiva las cuestiones que garanticen el cumplimiento de la nueva regulación europea en materia de protección de datos.

Por tanto, estamos pendientes de la regulación que se va a dar en nuestro país a la figura del Delegado de Protección de Datos.

Normativa que regula el DPO en España
4.8 (95%) 4 votos