¿Qué organizaciones deben designar un DPD?
• El RGPD se refiere a tres supuestos específicos
• El tratamiento se realice por autoridad u organismo público en
todo caso
• Las actividades principales de responsable o encargado
consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
• Las actividades principales de responsable o encargado
consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
• Además el Proyecto de LOPD incluye una serie de supuestos en
que deberá procederse a esta designación
– La mayor parte realmente responden a supuestos que ya
37
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Es posible designar a DPD externo?
• El DPD puede ser un miembro del personal del responsable del
tratamiento o del encargado del tratamiento (DPD interno) o «cumplir las tareas sobre la base de un contrato de servicios». Puede ejercerse sobre la base de un contrato de servicios celebrado con un individuo u
organización
– Podrá designarse un equipo de personas bajo la responsabilidad del
DPO designado en el contrato
– Cada miembro del equipo deberá cumplir los requisitos exigidos por
el RGPD para ser DPD
• En las Administraciones Públicas es posible designar un DPD para varias entidades, órganos u organismos. Ejemplos
– Las Diputaciones podrían prestar este servicio a Ayuntamientos de
pequeño tamaño
– Los Consejos Generales podrían prestárselo a todos o algunos de los
colegios
– Los colegios podrían poner el servicio a disposición de los
38
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Cuáles son las funciones del DPD?
• Informar y asesorar el responsable o encargado,
– Asegurar la existencia y mantenimiento de toda la documentación
obligatoria
• Supervisar la puesta en práctica de las políticas de protección de datos, incluidas
– asignación de responsabilidades
– concienciación y formación del personal – las auditorías correspondientes
• Supervisar la aplicación de la normativa de protección de datos, en
particular en lo referente a la PbD, PbDef y derechos de los interesados
• Supervisar la gestión de las violaciones de seguridad
• Supervisar y ofrecer asesoramiento en la realización de sobre EIPD cuando sea necesaria
• Supervisar las respuestas a los requerimientos que pueda formular la autoridad de protección de datos
• Cooperar con las autoridades de protección de datos en el marco de sus tareas
39
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Cuáles son las funciones del DPD?
• Actuar como punto de contacto para las autoridades de protección de datos y para los afectados
• Comunicar públicamente su identidad, que deberá incluirse en la información a facilitar a los afectados
• Posible atención de las reclamaciones que les dirijan los afectados
– Especialidades en el Proyecto de LOPD
• Reportar directamente al órgano de administración y dirección las cuestiones que sean necesarias en relación con los tratamiento
– En particular las infracciones que hubieran podido producirse
¿Tiene que intervenir el DPD en caso de solicitudes de acceso a información pública que contengan datos personales?
• En general no existe ninguna norma que exija esta intervención
• En caso de duda podría solicitarse su asesoramiento, dado su conocimiento especializado
40
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Cuáles son las cualidades profesionales del DPD?
• El RGPD exige que el DPD «se designe sobre las base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas a que se refiere el artículo 39»
¿Qué habilidades serían necesarias?
• Experiencia en la legislación y práctica nacional y europea de protección de datos (incluyendo el conocimiento del RGPD)
• Compresión de las actividades de tratamiento de la entidad
• Comprensión de las TIC y de los principios y reglas de seguridad de los datos
• Conocimiento de la organización
• Capacidad de promover la cultura de protección de datos en las organización
¿Se requiere una determinada titulación?
– El RGPD y el Proyecto no la exigen, aunque será posible demostrar las
41
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Qué recursos deben facilitarse al DPD por la organización?
• Los recursos deberán facilitarse al DPD teniendo en cuenta la
naturaleza de las operaciones de tratamiento y el tamaño de la organización
• Entre los recursos que deberán facilitarse se encuentran – Apoyo activo de la función del DPD por la alta dirección
– Disponibilidad de tiempo para el adecuado cumplimiento de
sus obligaciones
– Aportación de recursos financieros, personales y de
infraestructura (locales, instalaciones y equipo) adecuados
– Comunicación de su designación • Al personal
• A la autoridad de protección de datos, que mantendrá un
42
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Qué recursos deben facilitarse al DPD por la organización?
• Entre los recursos que deberán facilitarse se encuentran
– Acceso a otros servicios dentro de la organización para que los
DPD puedan recibir apoyo esencial, aportaciones o información de esos otros servicios
– Acceso a los tratamientos de datos que se estén llevando a
cabo por la organización, sin que pueda oponerse ningún tipo de obligación de secreto
– Acceso a medios que garanticen su formación y
43
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Cuáles son las salvaguardas que permiten al DPD realizar sus tareas de manera independiente?
• No están sometidos a instrucciones de los responsables o
encargados en relación con el ejercicio de sus tareas
• No cabrá despido o sanción por parte del responsable o el
encargado como consecuencia del desempeño de sus tareas
– Salvo que incurran en dolo o negligencia grave
• No puede existir conflicto de intereses con otras tareas u
obligaciones que le pudieran corresponder
– No puede ocupar un puesto dentro de la organización que lo
conduzca a determinar los fines y medios de los tratamientos.
– Cabrían conflictos con otros puestos de alta dirección,
dirección de Recursos Humanos o del departamento de TIC, así como con otros puestos inferiores si pueden implicar la decisión acerca de los fines y medios del tratamiento
44
Agencia Española de Protección de Datos
Delegado de Protección de Datos (DPD)
¿Cuál es la responsabilidad del DPD?
• Los DPD no son personalmente responsables por el
incumplimiento del RGPD.
• El RGPD deja claro que es el responsable o encargado del
tratamiento quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento.
• El artículo 70.2 del Proyecto de LOPD excluye expresamente la
45
Agencia Española de Protección de Datos
Conclusión
46
Agencia Española de Protección de Datos
Conclusión
47
Agencia Española de Protección de Datos