Què és un DPD?

#alvostrecostat

Amb l'aprovació de la nova legislació en protecció de dades, d'una banda el Reglament General de Protecció de Dades (RGPD) i de l'altra la Llei orgànica de Protecció de Dades i Garantia de Drets Digitals, apareixen una sèrie de requisits i obligacions, sancions incloses, que afecten un bon nombre de corporacions i negocis. Una de les obligacions més destacades és la incorporació de la figura del Delegat de Protecció de Dades (DPD) o Data Protection Officer (DPO, per les seves sigles en anglès).

Què és un DPD?

És una nova figura professional, especialista en dret de protecció de dades, la principal labor del qual és garantir que es compleix la normativa en aquest àmbit

En què consisteix la seva feina?

Ha d'informar, supervisar, divulgar i coordinar la política de protecció de dades en l'empresa o administració en la qual presti els seus serveis. A més, ha de vetllar pel compliment de la normativa espanyola i europea sobre el tractament de dades personals i assessorar sobre els riscos que pot comportar un determinat servei que ofereixi la companyia, la qual cosa es denomina Avaluació d'Impacte en la Protecció de Dades Personals (EIPD). També ha de cooperar amb les autoritats de control en el cas que es detectin irregularitats en el tractament de les dades. Les seves funcions són:

A) Funció d’informació i assessorament normatiu:

Ha d'informar i assessorar el responsable o l'encarregat del tractament de les obligacions normatives en protecció de dades que els incumbeixin. I informar, formar i assessorar els empleats que tractin dades personals dins les organitzacions responsables o encarregades del tractament, procurant la implantació de programes de formació i sensibilització del personal en matèria de protecció de dades. 

B) Funció de supervisió del cumpliment normatiu:

Ha de supervisar l'adequat compliment de les normes sobre protecció de dades en l'entitat o organització, implantant polítiques i protocols en protecció de dades.

C) Funció de cooperació i enllaç amb l’autoritat de control:

Ha de cooperar amb l'autoritat de control, o agència de protecció de dades corresponent; actuar com a punt de contacte de l'Agència per a les qüestions relacionades amb el tractament de dades personals inclosa la consulta prèvia, i ha de resoldre les reclamacions dirigides a l'Autoritat de control actuant de mediador.

D) Funció d’atenció als interessats:

Ha d'atendre els interessats que ho sol·licitin, establint mecanismes de recepció i gestió de les sol·licituds d'exercici de drets per part dels interessats i resoldre reclamacions dirigides per interessats afectats.

Quines empreses estan obligades a tenir un DPD?

La seva presència és obligatòria en les administracions públiques (excepte els tribunals de justícia), i en qualsevol empresa i entitat privada que la seva activitat principal consisteixi en l'observació habitual i sistemàtica d'interessats (realitzar perfils, observar als usuaris…) en gran volum, durant llargs períodes de temps i en un àmbit geogràfic molt ampli.

També han de comptar amb un Delegat de Protecció de Dades aquelles companyies que manegin dades de persones a gran escala sobre temes especialment sensibles (ideologia, salut, qüestions penals…).

També estan obligades totes aquelles empreses que es trobin en un dels sectors empresarials del llistat que conté la LOPDGDD (consultar llistat adjunt).

En qualsevol cas, és recomanable que en determinats casos, malgrat no estar obligats, es compti amb aquesta figura per a complir amb el principi de responsabilitat proactiva i disposar d'aquest actiu per a així crear confiança als clients.

El DPD ha de formar part de la plantilla?

No necessàriament. Pot estar integrat en la plantilla o ésser un professional aliè que exerceixi les seves funcions a través d'un contracte de serveis. L'important és que actuï d'una forma independent. En cas de ser un treballador intern de l'organització cal tenir en compte que: 

  • El DPD no rebrà instruccions per part dels responsables o encarregats del tractament quant a l’exercici de les seves funcions com a DPD. 
  • No podrà ser sancionat o destituït pel responsable del tractament per l’acompliment de les seves funcions. 
  • Hi haurà conflictes d’interès amb altres possibles funcions i obligacions:

                    - Llocs d’alta direcció.

                    - Càrrecs inferiors però que porten a la determinació de les finalitats i mitjans de tractament.

                   - Qui defensi als tribunals al responsable o encarregat en qüestions de protecció de dades.

Tant si és extern com intern, l’organització ha de garantir, que:

  • Es convida al DPD a participar amb regularitat en reunions amb els quadres directius alts i mitjans.
  • Es recomana que estigui present quan es prenen decisions amb implicacions per a la protecció de dades. Tota la informació pertinent ha de transmetre's al DPD al seu degut temps amb la finalitat que pugui prestar un assessorament adequat.
  • L'opinió del DPD es té sempre degudament en compte. En cas de desacord, el Grup de Treball recomana, com a bona pràctica, documentar els motius pels quals no se segueix el consell del DPD.
  • Es consulta al DPD amb promptitud una vegada que s'hagi produït una violació de la seguretat de les dades o qualsevol altre incident. 

Quins avantatges tinc en designar un DPD en la meva empresa?

1.- Evitaràs sancions de l’AEPD

Les sancions imposades pel nou RGPD i la LOPDGDD són moltíssim més severes que les que es coneixen fins ara. Per tant, evitar les sancions més altes sempre és un avantatge. En el cas que infringeixis qualsevol de les normes d'aquest Reglament i Llei, el DPD ha de ser qui intervingui entre la teva companyia i l'AEPD per a poder esclarir el que ha ocorregut. Sense cap dubte, en el cas que et sancionin, aquest professional serà un gran recurs a favor. 

2.- Evitar fugues d'informació 

En disposar d'un DPD en la teva empresa, farà que amb certa periodicitat es realitzin anàlisi i avaluacions dels tractaments i les mesures de seguretat aplicades, i amb això evitar possibles fugides d'informació.

3.- Tindràs un recurs a favor, si es produeix una violació de les dades

Un altre dels requisits que imposa la nova normativa és que, en cas que es doni una violació de les dades, es faci un informe en el qual es reculli el que ha passat. Per a, després, remetre aquest informe a l'AEPD. Si comptes amb un DPD en la teva organització, en cas que això succeeixi, podràs actuar de forma molt més ràpida a l'hora de pal·liar els efectes de la filtració o vulneració de la seguretat. Així com a l'hora d'informar les autoritats competents.

4.- Disposaràs d’un enllaç amb l’AEPD i amb els interessats

El DPD serà l'encarregat de resoldre les reclamacions que pugui fer un interessat, que d'una altra forma les resoldria l'AEPD i així evitar accions posteriors. Igualment, les sol·licituds de drets dels interessats les revisarà el DPD.

5.- Transmet seguretat i confiança als teus clients

El fet de disposar d'un DPD en la teva organització assegura als teus clients un interès i una voluntat de compliment en la normativa de protecció de dades i per tant una seguretat en les dades que el client diposita en la teva empresa.

Què passa si la meva empresa no compta encara amb un DPD?

Si l'empresa o administració està obligada a tenir un Delegat de Protecció de Dades i no l'ha incorporat s'enfronta a una multa. El nou reglament inclou importants sancions per incompliment.