¿Qué es un DPD?

#alvostrecostat

Con la aprobación de la nueva legislación en protección de datos, por un lado el Reglamento General de Protección de Datos (RGPD) y por el otro la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, aparecen una serie de requisitos y obligaciones, sanciones incluidas, que afectan a un buen número de corporaciones y negocios. Una de las obligaciones más destacadas es la incorporación de la figura del Delegado de Protección de Datos (DPD) o Data Protection Officer(DPO, por sus siglas en inglés).

¿Qué es un DPD?

Es una nueva figura profesional, especialista en derecho de protección de datos, cuya principal labor es garantizar que se cumple la normativa en este ámbito.

¿En qué consiste su trabajo?

Debe informar, supervisar, divulgar y coordinar la política de protección de datos en la empresa o administración en la que preste sus servicios. Además, debe velar por el cumplimiento de la normativa española y europea sobre el tratamiento de datos personales y asesorar sobre los riesgos que puede comportar un determinado servicio que ofrezca la compañía, lo que se denomina Evaluación de Impacto en la Protección de Datos Personales (EIPD). También debe cooperar con las autoridades de control en el caso de que se detecten irregularidades en el tratamiento de los datos. Sus funciones son:

A) Función de información y asesoramiento normativo:

Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban. Y informar, formar  y asesorar a los empleados que traten datos personales dentro de las organizaciones responsables o encargadas del tratamiento, procurando la  implantación de programas de formación y sensibilización del personal en materia de protección de datos. 

B) Función de supervisión del cumplimiento normativo:

Debe supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad u organización, implantando políticas y protocolos en protección de datos. 

C) Función de cooperación y enlace con la autoridad de control:

Debe cooperar con la autoridad de control, o agencia de protección de datos correspondiente; actuar como punto de contacto de la Agencia para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa y debe resolver las reclamaciones dirigidas a la Autoridad de control actuando de mediador. 

D) Función de atención a los interesados:

Debe atender a los interesados que lo soliciten, estableciendo mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados y resolver reclamaciones dirigidas por interesados afectados.

¿Qué empresas están obligadas a tener un DPD?

Su presencia es obligatoria en las administraciones públicas (excepto los tribunales de justicia), y en cualquier empresa y entidad privada que su actividad principal consista en la observación habitual y sistemática de interesados (realizar perfiles, observar a los usuarios…) en gran volumen, durante largos períodos de tiempo y en un ámbito geográfico muy amplio.

También deben contar con un Delegado de Protección de Datos aquellas compañías que manejen datos de personas a gran escala sobre temas especialmente sensibles (ideología, salud, cuestiones penales…).

También están obligadas todas aquellas empresas que se encuentren en uno de los sectores empresariales del listado que contiene la LOPDGDD (consultar listado adjunto).

En cualquier caso, es recomendable que en determinados casos, pese a no estar obligados, se cuente con esta figura para cumplir con el principio de responsabilidad proactiva y disponer de este activo para así crear confianza a los clientes.

¿Debe formar el DPD parte de la plantilla?

No necesariamente. Puede estar integrado en la plantilla o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios, lo importante es que actúe de una forma independiente. En caso de ser un trabajador interno de la organización hay que tener en cuenta que: 

  • El DPD no recibirá instrucciones por parte de los responsables o encargados del tratamiento en lo relativo al ejercicio de sus funciones como DPD, debe desarrollar su trabajo con total independencia; 
  • No podrá ser sancionado o destituido por el responsable del tratamiento por el cumplimiento de sus funciones; 
  • Habrá conflictos de intereses con otras posibles funciones y obligaciones:

                    - Puestos de alta dirección.

                    - Cargos inferiores pero que llevan a la determinación de los fines y medios de tratamiento.

                    - Quien defienda en los tribunales al responsable o encargado en cuestiones de protección de datos.

 

Tanto si es externo como interno, la organización debe garantizar que:

  • Se invita al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
  • Se recomienda que esté presente cuando se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.
  • La opinión del DPD se tiene siempre debidamente en cuenta. En caso de desacuerdo, el Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
  • Se consulta al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente. 

¿ Qué ventajas tengo al designar un DPD en mi empresa?

1. Evitarás sanciones de la AEPD

Las sanciones impuestas por el nuevo RGPDson muchísimo más severas que las que se conocen hasta ahora. Por tanto, evitar las sanciones más altas siempre es una ventaja. En el caso de que infrinjas cualquiera de las normas del Reglament i la Llei, el DPDdebe ser quien intervenga entre tu compañía y la AEPD para poder esclarecer lo que ha ocurrido. Sin lugar a dudas, en el caso de que te sancionen, este profesional será un gran recurso a favor. 

2. Evitar fugas de información 

Al disponer de un DPD en tu empresa, hará que con cierta periodicidad se realicen análisis y evaluaciones de los tratamientos y las medidas de seguridad aplicadas, y con eso evitar posibles fugas de información.

3. Tendrás un recurso a favor, si se da una violación de los datos

Otro de los requisitos que impone la nueva normativa es que, en caso de que se dé una violación de los datos, se haga un informe en el que se recoja lo que ha pasado. Para, después, remitir dicho informe a la AEPD. Si cuentas con un DPD en tu organización, en caso de que esto suceda, podrás actuar de forma mucho más rápida a la hora de paliar los efectos de la filtración o vulneración de la seguridad. Así como a la hora de informar a las autoridades competentes.

4. Dispondrás de un enlace con la AEPD y con los interesados

El DPD será el encargado de resolver las reclamaciones que pueda hacer un interesado, que de otra forma las resolvería la AEPD y así evitar acciones posteriores. Igualmente, las solicitudes de derechos de los interesados las revisará el DPD.

5. Transmite seguridad y confianza a tus clientes

El hecho de disponer de un DPD en tu organización asegura a tus clientes un interés y una voluntad de cumplimiento en la normativa de protección de datos y por lo tanto una seguridad en los datos que el cliente deposita en tu empresa.

¿Qué pasa si mi empresa no cuenta todavía con un DPD?

Si la empresa o administración está obligada a tener un Delegado de Protección de Datos y no lo ha incorporado se enfrenta a una multa. El nuevo reglamento incluye importantes sanciones por incumplimiento.