Desde que el pasado 25 de Mayo de 2018 se instaurara por completo el nuevo Régimen General de Protección de Datos (RGPD o GPDR según sus siglas en inglés) se ha hablado mucho de la figura del delegado de protección de datos. Por lo que haremos un listado de las principales funciones del DPO para definir sus tareas diarias.
Contexto y funciones del DPO
La figura del DPO está contemplada en los artículos 37, 38 y 39 del RGPD, y hace referencia a aquella persona, ya sea de la propia organización o con contrato de servicio, que se responsabiliza de velar por el tratamiento de datos de carácter personal (revisar, examinar y evaluar el resultado de dicho tratamiento). Principalmente, informará sobre los mismos, identificando mejoras para conseguir una mayor eficiencia. Al mismo tiempo, el DPO apoyará a los responsables de ficheros sobre el cumplimiento de la normativa. Como requisito indispensable, el DPO deberá acreditar experiencia y cualificación profesional dentro del ámbito de la protección de datos y formación tecnológica (para poder entender los procesos de tratamientos de datos).
¿Existen funciones del DPO definidas?
Sí, según el artículo 39 del Reglamento Europeo de Protección de Datos, estas serían las funciones del DPO:
a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales,
c) Supervisar la asignación de responsabilidades,
d) Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento
e) Supervisar las auditorías correspondientes;
f) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos
g) Supervisar su aplicación de conformidad con el artículo 35 del Reglamento;
h) Cooperar con la autoridad de control;
i) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y
j) Realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto.
Esquema de certificación de Delegados de Protección de Datos redactado por la Agencia Española de Protección de Datos:
Resulta interesante destacar ciertos aspectos de la guía redactada por la AEPD sobre la certificación de Delegados de Protección de Datos (te aconsejamos hacer clic en el enlace para poder leer la guía completa). En dicha guía encontrarás las tareas definidas anteriormente así como otras funciones sobre el desempeño del DPO. Destacamos las siguientes consideraciones que deberá ser capaz de desempeñar un DPO:
a) Recabar información para determinar las actividades de tratamiento,
b) Analizar y comprobar la conformidad de las actividades de tratamiento, e
c) Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
d) Recabar información para supervisar el registro de las operaciones de tratamiento.
ESQUEMA DE CERTIFICACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS (ESQUEMA AEPD-DPD).
ESQUEMA AEPD-DPD. 7
e) Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.
f) Asesorar sobre:
– si se debe llevar a cabo o no una evaluación de impacto de la protección de datos,
– qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos,
– si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa,
– qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e intereses de los afectados,
– si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y
– si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el Reglamento.
g) priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.
h) asesorar al responsable del tratamiento sobre:
– qué metodología emplear al llevar a cabo una evaluación de impacto de la protección de datos,
– qué áreas deben someterse a auditoría de protección de datos interna o externa,
– qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.
Resumen de las 5 principales funciones del DPO:
- Intermediación entre la autoridad de control, que este caso sería la Agencia Española de Protección de Datos, y la corporación en la que actúa como DPO, debiendo cooperar ante cualquier iniciativa o solicitud de la AEPD. También deberá comprobar la conformidad del tratamiento cuando sea necesario.
- Informar a la organización y a todos sus empleados de la importancia de cumplir con las obligaciones redactadas en el RGPD, sensibilizándolos en materia de protección y tratamiento de datos personales.
- Supervisar la aplicación e implementación de cualquier medida en materia de protección de datos personales.
- Atender a las peticiones de interesados sobre el ejercicio de sus derechos de conformidad al RGPD. En este sentido, deberá velar y garantizar la conservación de toda aquella documentación que contenga datos personales.
- Y la quinta, y quizás sobre la que más has oído hablar, supervisar la realización de la evaluación de impacto relativa a la protección de datos de la empresa.
Como hemos visto, la figura del delegado de protección de datos es primordial a la hora de aplicar y cumplir con el nuevo RGPD. Un mecanismo más de fiabilidad que nos garantizará que nuestra entidad cumple con la normativa, por lo que debe entenderse como una oportunidad que aportará un gran valor añadido a cualquier corporación o entidad, ya sea pública (las cuales como deben contar con esta figura de forma obligatoria) o privada (la presencia del DPO se verá condicionada al grado de relevancia y sensibilidad de los datos recogidos por parte de la empresa, por ejemplo; hospitales, colegios, consultas médicas privadas…).
Si tienes alguna duda más sobre el DPO y sus funciones, desde AKELA estaremos encantados de poder ayudarte y orientarte sobre el Delegado de Protección de Datos o sobre cualquier otra cuestión.