Por Vanesa González.
Responsable Departamento de Soporte de Aemol Consulting.
El nuevo Reglamento Europeo de Protección de Datos (RGPD/GDPR) que será de obligado cumplimiento el próximo 25 de mayo de 2018 establece una serie de medidas más estrictas en materia de protección de datos que las empresas, organizaciones y responsables necesitan aplicar para garantizar que el uso, tratamiento y almacenamiento de los mismos sea el adecuado.
Una de estas medidas esenciales es la responsabilidad activa, en cuanto a que es imprescindible que el responsable del tratamiento aplique aquellas medidas técnicas y organizativas, que garanticen el tratamiento adecuado y apropiado de los datos que tratan, y de cuáles son sus finalidades. Una normativa comunitaria más estricta, requiere que las empresas y organizaciones dispongan de herramientas que permitan procesar, utilizar y almacenar los datos de manera transparente y adecuada. Por ello, se necesita una actitud consciente, diligente y proactiva por parte de las organizaciones y empresas a la hora de salvaguardar sus datos y aplicar los tratamientos adecuados, e implementar las herramientas para conseguir el consentimiento implícito, así como para tener un plan de acción que permita aplicar correctamente el nuevo reglamento desde sus fases iniciales de análisis a las de tratamiento y custodia de los datos personales.
Otras medidas son: el análisis de riesgo, el registro de actividades de tratamiento, la protección de datos de datos desde el mismo momento en que se diseña un tratamiento, las medidas de seguridad, la notificación de “violaciones de seguridad de los datos”, la evaluación de impacto sobre la protección de datos y la figura del Delegado de Protección de Datos.
En esta ocasión, desde Aemol Consulting, analizaremos de manera pormenorizada la nueva figura del Delegado de Protección de Datos o Data Protection Officer (DPO), quien ejerce de enlace entre el responsable del fichero o encargado del tratamiento y la autoridad de control, garantizando el cumplimiento de la normativa de la protección de datos en las organizaciones y empresas. El DPO es nombrado por el responsable del tratamiento (titular de la empresa) o el encargado del tratamiento (aquel que preste este servicio). Su identidad debe ser comunicada a la Agencia Española de Protección de Datos, así como al público en general para que tenga la posibilidad de ponerse en contacto directo con él y ejercer cualquier derecho que les ampare en relación al tratamiento de sus datos personales. Su nombramiento no exime de responsabilidad a la empresa del cumplimiento del nuevo reglamento.
Las empresas y entidades con más de 250 empleados tienen la obligación de contratar un DPO; por otra parte, también será obligatorio , independientemente del número de empleados, en todos aquellos organismos, empresas o instituciones que trabajen con datos personales y que necesiten seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.
Los requisitos para ser Delegado de Protección de Datos son:
- Amplia experiencia y conocimiento de la materia y de la interpretación y adecuación práctica para aplicar la normativa sobre protección de datos, incluyendo medidas de seguridad en todos los procesos técnicos y administrativos y de desarrollo de la empresa.
- Conocimiento concreto de la materia aplicado a los diferentes sectores.
- Experiencia y capacidad para asistir a la razón social ante inspecciones, requerimientos de las autoridades competentes y cualquier tipo de consulta de los terceros afectados por el tratamiento de datos de la razón social.
- Habilidades de negociación, formación y empatía para trabajar con representantes de trabajadores, y por supuesto con los propios trabajadores de la empresa.
Resumiendo, aunque no se exige que quien desempeñe el cargo de DPO sea jurista, si bien, debe tener conocimientos especializados en materia de derecho. Puede ser una persona física o jurídica, interna o externa, y debe ser especialista en materia de protección de datos. Y siempre actuará de forma independiente y no recibirá instrucción en lo que respecta al ejercicio de sus funciones, con la finalidad generar confianza en los ciudadanos.
En cuanto a las principales funciones a desempeñar por el DPO son:
- cooperar con la autoridad de control; y
- supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
- actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Para terminar, recordaremos que el delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Desde Aemol Consulting, consultora experta en protección de datos, advertimos que el nuevo reglamento otorga amplias funciones al DPO, y a la vez; indicar que el DPO se convierte en el pilar fundamental que garantiza y protege la privacidad y seguridad de los datos responsabilidad de la empresa.