El nuevo Reglamento Europeo de Protección de Datos que deberá aplicarse en mayo de 2018 establece para determinadas organizaciones, administraciones y empresas la obligatoriedad de contar con un Delegado de Protección de Datos. La AEPD aclara en su blog en qué consiste esta figura.
El Delegado de Protección de Datos está obligado a tener conocimientos de Derecho y de Protección de Datos, aunque no tiene porque ser un jurista. Además podrá ser interno o externo a la empresa. Pudiendo ser una persona física o jurídica.
Tal y como se expone en el nuevo Reglamento no todas las empresas están obligadas a contar con esta figura. Solo tendrán obligación las administraciones públicas a excepción de los Tribunales, las empresas u organizaciones cuya actividad principal sea el tratamiento masivo de datos que requieren de una supervisión habitual y las empresas que manejen datos personales sensibles (salud, penales…) que deben ser supervisados habitualmente.
Aunque las Pequeñas y Medianas Empresas cuya actividad no sea el tratamiento masivo de datos están exentas de contar con un Delegado de Protección de Datos, la normativa aconseja contar con esta figura.
En el artículo 39 del nuevo Reglamento se exponen las funciones mínimas de esta figura de protección de datos. Son las siguientes.
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Además el Delegado de Protección de Datos está obligado a desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Con el fin de dar las mayores garantías a esta figura y a sus funciones, desde la Agencia Española de Protección de Datos (AEPD) junto con la Entidad Nacional de Acreditación (ENAC) se trabaja en un modelo de certificación como Delegado de Protección de Datos y se ha creado el Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos.
En este primer semestre de 2017, la Agencia aprobará dos esquemas de certificación, uno para entidades certificadoras de Delegados y otro para certificar a los propios Delegados.
Para que un Delegado de Protección de Datos realice sus funciones no es necesario conseguir esta certificación, pero si lo hace tendrá más garantías de que sus funciones serán competentes.
Pingback: Protección de datos en Pymes y ciudadanos. 9ª Sesión AEPD