El DPO, un asesor en protección de datos llega a las empresas

Alberto Cuervo, Coordinador y Profesor de Bureau Veritas Formación, especializado en Derecho de las Nuevas Tecnologías.

Una pregunta que nos hacemos habitualmente es la de si la figura del Delegado de Protección de Datos (conocido como DPO por las siglas en inglés de Data Protection Officer) es obligatoria en todas las empresas y entidades.

Basado en una historia real. Dos amigas, Sandra, responsable de una oficina de empleo, y Beatriz, directora de un instituto privado de enseñanza, quedaron como todas las semanas para ir a la piscina. Después de la sesión de natación se fueron a tomar algo. Y tras comentar diferentes temas, surgió el DPO.

Habían leído mucha información al respecto, pero tenían muchas dudas. Así que decidieron llamar a su amigo Alberto, abogado y experto en Derecho de las Nuevas Tecnologías, que vivía muy cerca, para que se tomara un café con ellas y les explicara determinadas cuestiones.

– Alberto, ¿qué es un DPO? 

Mirad, como sabéis es imprescindible regular correctamente los tratamientos de datos personales, y actualmente existe el Reglamento General de Protección de Datos, una nueva normativa que nos afecta y que recoge la actividad del DPO.

A partir del 25 de mayo de 2018 este cargo será obligatoria para determinadas empresas. Se trata de un experto en materia de protección de datos, que asesora y trabaja conjuntamente con el Responsable o Encargado del tratamiento de los datos.

Y os preguntaréis, ¿para qué sirven estos dos puestos?

1- El Responsable de Tratamiento es la persona física o jurídica que decide sobre la finalidad y uso del tratamiento de datos y sobre qué se debe hacer con los datos de carácter personal, aunque no lo realice él por sí mismo.

2- El Encargado del Tratamiento es la persona física o jurídica que trata esos datos de acuerdo con las instrucciones del Responsable del Tratamiento debido a una relación jurídica o un contrato existente entre ambos.

Los ejemplos más claros de encargados del Tratamiento son:

  • Prestadores de servicios de hosting.
  • Gestorías que confeccionan las nóminas.
  • Prestadores de servicios informáticos o prestadores de servicios de destrucción de documentos, datos y archivos confidenciales.

– Alberto, ¿en nuestras empresas o entidades es obligatorio contar con un DPO?

Sí, en vuestro caso sí es necesario, porque la existencia de un DPO será obligatoria, a partir del próximo 25 de mayo, en los siguientes casos:

– Para toda autoridad pública, a excepción de Jueces y Tribunales.

Sería cualquier entidad, autoridad o funcionario que desempeñe funciones públicas, como las Administraciones Públicas, los Colegios Profesionales, funcionarios públicos y así como en los casos de notarios y registradores de la propiedad. Por tanto, en tu caso Sandra; que trabajas en una  oficina de empleo, que es una entidad  de ámbito público; sí deberíais tenerlo.

En el caso de las empresas privadas podemos  diferenciar dos grupos:

a)- Cuando se realicen tratamiento de datos a gran escala

Por ejemplo, si la actividad principal de la empresa consiste en tratamientos de datos a gran escala que requieran un seguimiento habitual de los interesados, como aquellas empresas o entidades para quienes sea indispensable el tratamiento de datos personales. Como sucede, por ejemplo, dentro de las áreas comerciales o de marketing. También en los casos de los docentes o formativos, como es el caso del instituto privado que dirige Bea.

b)- Cuando se realice tratamiento de datos especialmente protegidos

En el caso de las empresas cuyas actividades principales consistan en el tratamiento de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales, por ejemplo, se deberán incluir a profesionales y entidades que, por su actividad, necesiten tratar datos sensibles. Este es el caso de instituciones del sector sanitariojurídico. Además de organizaciones de otros ámbitos.

En el resto de empresas, la figura del DPO no es obligatoria legalmente, pero sí es muy recomendable, sobre todo, para garantizar un eficaz cumplimiento normativo y evitar reclamaciones o sanciones.

– Alberto, ¿cuáles son las características del puesto y la formación que tiene que tener un DPO?

El DPO es un profesional cualificado en materia de protección de datos, al que puedes acudir en caso de duda sobre su tratamiento. Y no es necesario que sea una persona física, puede ser una persona jurídica o una empresa externa.

Es decir, que podrá formar parte de la plantilla del Responsable o del Encargado del Tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y en materia de protección de datos y en función de su capacidad para desempeñar las funciones que debe realizar.

El Responsable o el Encargado del Tratamiento deberá publicar los datos de contacto del Delegado de Protección de Datos y los comunicarán a la Agencia Española de Protección de Datos (AEPD), que es la Autoridad de Control.

Y para que tengáis clara su actividad, os comento las principales funciones del DPO: 

1- Informar y asesorar al Responsable del Tratamiento en la empresa y a los trabajadores que se ocupen del tratamiento de las obligaciones cumpliendo con las medidas técnicas y organizativas de seguridad requeridas para los datos que tratan.

Por ejemplo, en la gestión del acceso de los usuarios se debe establecer un registro de usuarios mediante un procedimiento formal, para asegurar el acceso de un usuario autorizado y para prevenir entradas no autorizadas a los sistemas de información.

Asimismo, en el control de acceso al sistema operativo existen procedimientos seguros de inicio de sesión y todos los usuarios deben tener un identificador único (ID de usuario) para su uso personal y exclusivo.

2- Supervisar el cumplimiento de la normativa y las políticas de seguridad de la empresa en protección de datos, incluyendo la asignación de responsabilidades, la concienciación y formación del personal, y las auditorías correspondientes.

3- Ofrecer el asesoramiento que se le solicite acerca de los posibles riesgos en seguridad de la información y la evaluación de impacto de protección de datos, supervisando su aplicación.

4- Cooperar y hacer de enlace y contacto con la autoridad de control para las cuestiones relativas al tratamiento, realizando las consultas sobre cualquier otro asunto.

– Sandra, Bea;  con estas ideas que os he comentado, ¿qué os parece? ¿Conocéis perfectamente las claves del DPO y su importancia actual?

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s