Certezas y dudas sobre la nueva figura del delegado de protección de datosEstrella Barrionuevo Cañones 23 octubre, 2017 El nuevo Reglamento de protección de datos, como contaba en un post anterior, trae como novedad la creación de una nueva figura: el delegado de protección de datos (Data Protection Officer en inglés y de ahí las siglas “DPO”, que ya nos empiezan a resultar familiares). Su cometido será, desde el próximo mes de mayo, cuando entre en vigor el Reglamento, velar por el cumplimiento de la legislación de protección de datos en el ámbito de actuación de las empresas. Dado que en el RGPD, las compañías se enfrentan a sanciones que pueden alcanzar los 20 millones de euros o al 4 por ciento de su facturación anual conviene conocer este nuevo perfil ya que en ciertos casos su nombramiento será obligatorio. El DPO será una persona o área encargada de “vigilar” el cumplimiento del RGPD en los términos establecidos por los únicos tres artículos del Reglamento que regulan esta figura: el primero establece cuándo será obligatorio designarlo, el segundo los requisitos que debe cumplir y en el tercero se definen sus funciones. Pero aún surgen mil dudas a la hora de su implantación. Para aclarar algunas de ellas relacionadas con la interpretación de dichos artículos en el ámbito europeo se han elaborado unas directrices y en España estamos a expensas de lo que establezca el anteproyecto de LOPD que sustituirá a la legislación actual por si aclara o concreta dichos aspectos. Lo que es incuestionable es que en aplicación del principio de responsabilidad activa, será cada empresa la responsable de decidir cómo se organiza internamente para cumplir con la obligación del DPO y, por ello, a continuación indicamos sus características: -El nombramiento de esta figura es obligatorio para los organismos públicos (se exceptúan los tribunales y otras autoridades judiciales en el ejercicio de su función judicial) y para las entidades privadas cuya actividad principal consista en operaciones de tratamiento de datos a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales relativos a condenas e infracciones penales. –Será nombrado públicamente dado que los interesados podrán dirigirse directamente a él para la defensa de sus derechos al amparo del Reglamento y no podrá ser despedido por el ejercicio de sus funciones (como “garantía” para evitar situaciones negligentes o de “corrupción privada” en las empresas, ya que si el delegado detecta una irregularidad interna, debe denunciarla). –El DPO podrá ser único o ejercer para el grupo societario según la estructura organizativa y tamaño, podrá ser personal de plantilla o externo y podrá realizar además otras funciones siempre y cuando no le generen conflicto de intereses. –Será nombrado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el propio Reglamento. Los expertos coinciden en que para el ejercicio de las funciones del DPO es imprescindible la formación tecnológica que le permita entender los procesos de tratamiento de datos y, a su vez, comunicarse de forma más efectiva con los departamentos que participan en el mismo. No es necesario que sea jurista pero sí debe conocer la normativa de protección de datos de carácter personal. La Agencia Española de Protección de Datos (AEPD) está impulsando junto con la Entidad Nacional de Acreditación, una certificación como delegado de protección de datos cuya obtención, si bien será voluntaria, supondrá una garantía. -Debe ser independiente, participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales y rendir cuentas directamente al más alto nivel jerárquico. – Por último, en cuanto a las funciones del DPO: Informará y asesorará dentro de la organización sobre las cuestiones relativas a la protección de datos de carácter personal Promoverá la concienciación y formación del personal que participa en operaciones de tratamiento Supervisará el cumplimiento de lo dispuesto en el Reglamento y realizará las auditorías correspondientes Ofrecerá el asesoramiento que se le solicite acerca de las evaluaciones de impacto. Cooperará y actuará como punto de contacto con la Agencia Española de Protección de Datos. Imagen: Frank Hebbert “Para innovar en la administración hace falta pasar del “nunca se hizo así” al “¿por qué no?”. Hay que abrir la mente”Tendencias en redes de data center: API, contenedores, auge del software, de cloud o la experiencia de usuario
Mercedes Núñez “Hay que liderar la digitalización para instalarnos en el futuro y crear el nuevo mundo” “No podemos vivir en el pasado, ni siquiera en el presente: nos tenemos que instalar en el futuro”. La frase es del alcalde de Madrid, José Luis Martínez-Almeida, en el DigitalES...
Equipo Editorial Un repaso antes de seguir transformándonos El próximo lunes habremos superado el ecuador de septiembre y estaremos ya plenamente inmersos en el nuevo curso escolar corporativo. En el blog de Telefónica Grandes empresas y Administración...
Mercedes Núñez La banda sonora de la transformación digital: ¿orquesta o jam session? El deporte puede verse como una metáfora de la vida y yo creo que también como fuente de aprendizaje para el mundo de los negocios. Recuerdo un post que...
Carmen Ruano Sánchez Innovación en eHealth: un ecosistema propio de startups Es cierto que nuestro Sistema Nacional de Salud es reconocido internacionalmente tanto por sus resultados como por su eficiencia. Pero también lo es que se enfrenta a una serie...
Beatriz Monfort Sanchís Una nueva generación de CDN para las actuales necesidades de negocio Inicialmente las plataformas de CDN (Content Delivery Networks) se limitaban a “cachear” el contenido (almacenarlo para una solicitud futura) en redes más o menos extensas de servidores diseminados por Internet....
Jaime Rodríguez-Ramos Fernández Edge computing: una nube más cercana La nube se prepara para la siguiente fase. Vamos a pasar de los grandes data centers centralizados actuales a una computación y un almacenaje más local. Esto es, ni más...
