AmyPc Consultores
91 089 07 20 - 645 785 425
lopd@adaptacionlopdonline.com
Consultores
Vaya al Contenido

Delegado de Protección de Datos

SERVICIOS
Servicios como Delegado de Protección de Datos y para la realización de Evaluaciones de impacto en la protección de datos

Un Delegado de Protección de Datos (DPD o DPO "Data Protection Officer") es una nueva figura requerida por el Reglamento General de Protección de Datos (RGPD). El DPO es el responsable de supervisar la estrategia de protección de datos de una entidad y de su implementación para garantizar el cumplimiento de los requisitos del RGPD.

Cuando sea probable que un tipo de tratamiento, en particular si se utilizan nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el Responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (EIPD o DPIA "Data Protection Impact Assessment").

Ver infografía

Delegado de protección de datos
• Servicios como Delegado de protección de datos externo de la entidad (pública o privada). Estos servicios se prestan en todo el territorio nacional en modo presencial o virtual y se ofertan según intervenciones a realizar.
• Servicios de Consultoría de apoyo al DPO interno nombrado por el Responsable que puede contratar por horas o packs.
• Realización de Evaluaciones de impacto relativas a la protección de datos personales y proceso de consultas previas a la Autoridad de control.
¿Qué es un Delegado de Protección de Datos (DPO-DPD)?

DPOEl Delegado de Protección de Datos es el encargado de informar y asesorar al Responsable o al Encargado del tratamiento y al personal autorizado para el tratamiento de cualquier entidad, de las obligaciones que les afectan en virtud del RGPD y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados miembros de la UE, como nuestra la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (ES) 3/2018 (LOPDGDD).


¿Quién debe nombrar un Delegado de Protección de Datos?

El artículo 37.1 del RGPD dispone que el Responsable o el Encargado del tratamiento deberán designar un Delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al art. 9 y de datos relativos a condenas e infracciones penales a que se refiere el art. 10.

Además de en los supuestos anteriores, la LOPDGDD establece en su art. 34 que deberán nombrarlo, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el art. 39 del RGPD.

El Delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios (interno o externo). El Responsable también puede designar un DPO de forma voluntaria.

Funciones y obligaciones del Delegado de Protección de Datos

El Delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el art. 35 del RGPD;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

El DPO desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

En el caso que el Responsable realice una evaluación de impacto (DPIA-EIPD), el DPO tendrá las siguientes funciones:
• Asesorar acerca de la DPIA formando parte del equipo redactor.
• Realizar la consulta previa a la Autoridad de control y proceder a su seguimiento.
• Supervisar la aplicación de la DPIA.
Obligaciones del Responsable o del Encargado del tratamiento

Disponer de un DPO no libera al responsable de sus obligaciones ya que sigue siendo el responsable del tratamiento legítimo de datos personales, debe garantizar los derechos de los interesados, proteger los datos (implantar medidas de seguridad técnicas y organizativas), llevar registros del tratamiento, cooperar y consultar con las autoridades de control, notificar las violaciones de datos, realizar evaluaciones de impacto, obtener el consentimiento para la transferencia de datos internacional, etc.


DPOIMPLEMENTACIÓN DEL SERVICIO
El proceso de implementación de este servicio como DPO externo comienza con la realización de una auditoría que nos permite evaluar la situación actual de la entidad y elaborar un plan anual de trabajo que describe las actividades y tareas a cumplir, totalmente adaptado a sus necesidades.

Para los casos en los que el DPO sea una persona de la organización, dado que en muchas ocasiones no es un experto en protección de datos y privacidad y a que debe desempeñar esta tarea sin desatender su propia actividad profesional en la entidad, ofrecemos un servicio de asistencia adecuado para pueda atender sus obligaciones.


¿Qué es una Evaluación de Impacto relativa a la protección de datos (EIPD-DPIA)?

Una Evaluación de impacto en la protección de datos es una herramienta que permite al Responsable del tratamiento, con carácter preventivo, identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento de datos que realiza, con el objetivo de garantizar los derechos y libertades de las personas físicas. Esto le va a permitir establecer las medidas de control más adecuadas para reducir dichos riesgos hasta un nivel considerado como aceptable.


¿Quién debe realizar una Evaluación de impacto de protección de datos?

DPIAEl artículo 35.3 del RGPD dispone que el Responsable deberá realizar DPIA en los siguientes casos:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.

Además, según el art. 35.4 del RGPD, la autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una DPIA. En este sentido, nuestra Autoridad de control, la AEPD, ha publicado la siguiente lista orientativa:

  1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Regreso al contenido