Como sabemos, tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales exigen obligatoriamente a ciertas empresas que cumplan con la obligación de designar un DPO.El artículo 34 de la LOPDGDD, en concreto, exige dicha obligación para empresas como Clínicas, Centros docentes (Colegios, Centros de educación infantil, etc…) Leer más
El delegado de protección de datos, va a ser un elemento crucial para el desarrollo de nuevas ideas de negocio, y un soporte estructural básico para una economía basada en el “dato”.
En el mes de Mayo del año 2.018 entrará en vigor el nuevo Reglamento europeo de Protección de Datos (RGPD), aprobado con el fin de decir adiós a la antigua Directiva que regulaba la materia y para unificar los criterios de protección en todos los países de la Unión Europea.
En la Guía del Reglamento General de Protección de Datos publicada por la AEPD para Responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el Delegado de Protección de Datos, que se crea con los artículos 37, 38 y 39 del mentado Reglamento.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y se constituye como un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
Al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, y que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado.
El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
Como se viene señalando desde hace más de un lustro la protección de datos no es un coste, es una inversión. Y como tal tiene retorno. Vamos a mejorar procesos, a incrementar la calidad de los datos, a ganar confianza en nuestros sistemas de información y en la toma de decisiones. Y vamos a trasladar, tranquilidad a nuestros clientes.
Con la finalidad de generar confianza en los ciudadanos, que no olvidemos son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) está impulsando junto con la Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo..
La seguridad de nuestros datos, su correcto uso, la protección de los menores en internet, la confianza de los clientes en el comercio electrónico, el uso de Big Data, la investigación en salud, el uso policial de los datos, la videovigilancia, la solvencia patrimonial y el crédito, las nuevas estrategias de marketing y publicidad, la innovación basada en información personal, la educación… pasan desde ahora por el delegado de protección de datos.
[one_second]
El Anteproyecto de La futura Ley de Protección de Datos, al que aún le queda un largo camino hasta su texto definitivo, tiene como principales novedades, como no puede ser de otra forma, el anteproyecto: la creación de la figura del delegado de Protección de Datos, aclarando e interpretando lo que la norma europea recoge, la cooperación internacional, la extensión de la importancia de la protección de datos y su aplicación legislativa y sancionadora, y el derecho de los fallecidos, coincidiendo con las reclamaciones sociales sobre la protección de sus datos, al verse afectadas ante la sobre abundancia de información, la redes sociales y los nuevos dispositivos.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. Desde entonces, y en particular con la Sentencia 290/2.000 del Tribunal Constitucional, que viene a reconocer a la protección de datos como derecho fundamental autónomo, ha ido desarrollándose una legislación que cada vez más se centra en la protección de los datos de los ciudadanos.
El último hito ha sido la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Cada Estado miembro debe adaptar la normativa europea a su ordenamiento interno, si bien debemos recordar que, al tratarse de un Reglamento, y no de una Directiva, de la que dimana la actual LOPD, es directamente aplicable.
En España, en concreto, se ha publicado recientemente el Anteproyecto de Ley que debe dar lugar al nuevo marco que reforme la LOPD actual.
El Anteproyecto, al que aún le queda un largo camino hasta su texto definitivo, no pretende reiterar el texto del Reglamento Europeo de Protección de Datos para que sea asumido como integrante del Derecho interno, sino que trata de clarificar sus disposiciones, dentro de los márgenes que el mismo establece, teniendo en cuenta asimismo la propia tradición jurídica derivada de una regulación de más de veinticinco años de vigencia y de una abundante doctrina judicial generada a lo largo de ese período, tanto en el ámbito interno como en el de la Unión Europea.
En principio consta de setenta y ocho artículos estructurados en ocho títulos, diez disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales.
El Título I, relativo a las disposiciones generales, contiene la novedosa regulación de los datos referidos a las personas fallecidas, permitiendo a los herederos solicitar el acceso a los mismos, así como su rectificación o supresión y se podrán incorporar a un registro.
En el Título II, “Principios de protección de datos”, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para quien carezca de competencia.
[/one_second][one_second]
El Título III, dedicado a los derechos de las personas, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).
El Título IV se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa.
La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge el anteproyecto, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.
El Título V, relativo a las transferencias internacionales de datos, procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
El Título VI se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 se ha de establecer por ley nacional. Manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, el anteproyecto regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
El Título VII regula el “Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos”. El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas.
El Título VIII, que contempla el régimen sancionador, parte de que el Reglamento (UE) 2016/679 establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión.
Por su parte, las Disposiciones Adicionales se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos, entre otros. Las disposiciones transitorias están dedicadas al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680.
Se recoge únicamente una Disposición Derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con carácter de ley ordinaria, el título competencial, las modificaciones necesarias de la legislación sectorial y la entrada en vigor.
Resumiendo La futura Ley de Protección de Datos podemos destacar como principales novedades que del Reglamento acoge, como no puede ser de otra forma, el anteproyecto: la creación de la figura del delegado de Protección de Datos, aclarando e interpretando lo que la norma europea recoge, la cooperación internacional, la extensión de la importancia de la protección de datos y su aplicación legislativa y sancionadora, y el derecho de los fallecidos, coincidiendo con las reclamaciones sociales sobre la protección de sus datos, al verse afectadas ante la sobre abundancia de información, la redes sociales y los nuevos dispositivos.
[/one_second]
¿Qué es el Delegado de Protección de Datos?
Con la publicación del nuevo Reglamento europeo de Protección de Datos, que recordemos será aplicable en el 2018, se ha introducido la figura del “Delegado de Protección de Datos”. A falta de que la Agencia concrete exactamente todos los datos, leyendo la norma y su descripción podemos hacernos una idea bastante aproximada:
El “Delegado de Protección de Datos” es una figura recogida en el nuevo reglamento, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.
Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
Cooperar con las “autoridades de control” (Agencias de Protección de Datos)
Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.
Las Administraciones Públicas (autoridades y organismos, excepto Tribunales)
Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas (artículo 9) y de datos relativos a condenas e infracciones penales (artículo 10).
En los siguientes casos, la existencia de un delegado de protección de datos no es preceptiva, pero si recomendable por ley:
Empresas y otras entidades cuya actividad principal no consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.
Por parte de las Administraciones Públicas, se podrá nombrar un Delegado de Protección de Datos único para varias autoridades y organismos, teniendo en cuenta su estructura organizativa y tamaño.
Los grupos empresariales, van a poder nombrar un Delegado de Protección de Datos único para todas las empresas del grupo, siempre dicha persona tenga un acceso sencillo a cada una de las empresas individualmente.
El Delegado de Protección de Datos puede formar parte de la plantilla de una Administración Pública, una Empresa o una Entidad privada, o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. En todo caso, debe garantizarse su independencia: no puede recibir instrucciones, ni puede ser destituido ni sancionado por lo que respecta al desempeño de sus funciones.
EL “PASAPORTE VERDE EUROPEO” YA ES UNA REALIDAD09/04/2021 - 13:10
Multa de 3.000€ a una asociación cultural por difundir sin consentimiento imágenes de un menor06/04/2021 - 14:27
Protección de datos y Brexit ¿En qué situación está Reino Unido?06/04/2021 - 14:17
Multa de 15.000€ a una comunidad de propietarios por parte de la AEPD16/03/2021 - 10:48
Adheridos al Pacto Digital para la protección de las personas
