El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (Reglamento general de protección de datos), cuya entrada en vigor está prevista el 25 de mayo de 2018, coloca a los delegados de la protección de datos (o también conocidos como DPD) como elemento nuclear en el cumplimiento de la normativa de protección de datos para muchas empresas.
Ya sean pymes, grandes empresas o instituciones públicas todas deben analizar si deben tener un delegado de protección de datos en su organización.
En este artículo pretendemos, aclarar qué empresas están obligadas a designar un Delegado de Protección de Datos y qué aspectos deben tenerse en cuenta a la hora de elegirlo.
Según el Reglamento General de Protección de Datos están obligados a tener un Delegado de Protección de Datos las entidades que se encuentren dentro de las siguientes definiciones:
Después de leer estas definiciones es probable que se generen más dudas sobre el significado de alguna de las palabras utilizadas en cada una de las definiciones.
Para ello os damos algunas pautas para poder determinar con mayor claridad cuando una Entidad (ya sea una sociedad mercantil, profesional, asociación, fundación o incluso un autónomo) está obligada a designar un DPD:
1. ¿Qué significa « actividades principales »?
Las «actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos de la Entidad.
Por ejemplo una empresa de seguridad privada que lleva a cabo la vigilancia de una serie de centros comerciales privados y espacios públicos. La vigilancia es la actividad principal de la empresa y, a su vez, está intrínsecamente ligada al tratamiento de datos personales. Por lo tanto, esta empresa debe designar un DPD.
2. ¿Qué significa « a gran escala »?
Debe entenderse por « a gran escala » el procesar una cantidad considerable de datos personales, que pudiera afectar a un gran número de personas. No obstante, el Reglamento Europeo de Protección de Datos no establece una cifra exacta ya sea en relación a la cantidad de datos procesados como el número de personas afectadas.
En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores, en especial, a la hora de determinar si el tratamiento se lleva a cabo a gran escala:
Serían tratamientos a gran escala:
3 ¿Qué significa « seguimiento regular y sistemático »?
Debemos entender que « el seguimiento regular y sistemático » incluye cualquier forma de creación de perfiles en Internet, incluso a los solos efectos de la publicidad basada en el comportamiento.
Por supuesto que el concepto “de seguimiento” no está limitado al entorno on-line que solo debe considerarse un ejemplo de seguimiento del comportamiento de los interesados.
Un seguimiento regular y sistemático incluye:
Algunos ejemplos de “seguimiento regular y sistemático” serían:
Una vez ya hemos podido evaluar si la Compañía está obligada a designar un Delegado de Protección de Datos, nos queda la ardua tarea de conocer el perfil profesional que debe tener el DPO y sus obligaciones y funciones en el cargo:
El delegado de protección de datos debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su experiencia para desempeñar esta función.
Por tanto el DPD debe tener una comprensión profunda de la normativa en materia de protección de datos.
No será necesaria tener ninguna certificación como DPO. No obstante, indicar que la Agencia Española de Protección de Datos está impulsando un programa para certificar a Delegados de Protección de Datos en España.
Deberá controlar el cumplimiento de la normativa de protección de datos en la Empresa.
Sin olvidar que el cumplimiento de la normativa de protección de datos es responsabilidad de la Compañía y no del DPD, el Reglamento encomienda al Delegado de Protección de Datos las siguientes funciones de control:
El DPO estará obligado a mantener el secreto documental y confidencialidad en relación con el desempeño de sus tareas, de acuerdo con el Derecho de la Unión Europea o de los Estados miembros, además deberá tener probada accesibilidad. Es decir, debe estar disponible para los interesados, para la Agencia Española de Protección de Datos y lógicamente accesible para la organización que lo ha nombrado.
Y por último, no podemos obviar que el DPO deberá tener sentido de la responsabilidad, ser conocedor del sector empresarial y aplicar, el menos común de los sentidos, el sentido común.
Entrevistamos a Laura Cabrera Jaime, Enfermera en el Servicio de Control de Infecciones del ICO…
El Big Data irrumpe en el sector sanitario con un potencial transformador sin precedentes. La…
Un electrocardiograma (ECG) es una prueba médica que permite detectar posibles afecciones cardíacas, de ahí…
La implementación del modelo Business Agility es fundamental en las empresas hoy en día porque…
Conocer los distintos métodos de evaluación del desempeño laboral es fundamental para un profesional de…
En la organización de eventos deportivos influyen diversos factores que es necesario tener en cuenta…