El Delegado de Protección de Datos es la figura que garantiza el cumplimiento y aplicación de la nueva ley de protección de datos, pero ¿Cuándo es obligatoria esta figura?
La figura del Delegado de Protección de datos es obligatoria para autoridades y organismos públicos; responsables o encargados que tengan entre sus actividades el tratamiento de grandes masas de datos que requieran una observación habitual y sistemática; o por último, el mismo uso para datos que sean sensibles.
Como ya debe saber, a partir del día 25 de mayo entrará en vigor la nueva ley, siendo una de sus principales novedades la inclusión de esta figura del Delegado de Protección de Datos, a la que nos referimos. ¿Cuando
Se está hablando mucho de que no es necesario que forme parte de la empresa. Podría ser un miembro de la misma o ser contratado de manera externa, pero ¿cuáles son sus funciones?
Ese es el objeto de esta entrada, aclarar definitivamente qué sentido tiene la inclusión del Delegado de Protección de Datos y el sentido que tiene para el empresario este nuevo coste.
¿Qué se necesita para ser Delegado de Protección de Datos?
Obviamente, lo ideal antes de aclarar sus responsabilidades es saber que cualificación debe tener. ¿Cuáles son los requisitos mínimos necesarios para ejercer las funciones de esta figura?
Principalmente, el Delegado de Protección de Datos debe ser una persona formada en derecho y lógicamente debe conocer el ámbito de la protección de datos.
También debe estar acreditado por una certificación que le acredite como tal expedida por un centro homologado para esto.
Aunque según las últimas informaciones de la AEPD estas certificaciones son voluntarias. No hay que estar acreditado para ejercer el cargo, pero es complicado asumir un cargo tan novedoso sin la formación adecuada. Funciones y responsabilidades
Es importante aclarar que las funciones que vamos a destacar pueden ser realizadas tanto por el responsable de la empresa como el Delegado de Protección de Datos. En muchas ocasiones este último se limitará a realizar tareas de supervisión y asesoramiento.
Análisis del Riesgo
En primer lugar, es necesario tomar medidas proactivas de cara a conocer el riesgo que el tratamiento de datos personales. Hay que valorar si este puede suponer algún peligro para los derechos y libertades de los usuarios.
El Delegado de Protección de Datos será el encargado de evaluar estos riesgos. Debe establecer un plan preventivo y adoptar las medidas necesarias para su correcta prevención.
Registro de Actividades de Tratamiento
Una información muy importante y que no se suele comentar es que las empresas con menos de 250 trabajadores están exentas de esta actividad.
- Nombre y datos del Responsable y del Delegado de Protección de Datos.
- Finalidad de la recogida de datos
- Categorización de interesados y datos
- Transferencias de datos si las hubiese
Protección de datos desde el diseño y por defecto
Por lo tanto, es necesario tomar medidas organizativas y funcionales desde la puesta en marcha del proyecto. De esta forma es posible integrar todas las medidas establecidas en la RGPD desde el primer momento.
Esto quiere decir que el Delegado de Protección de Datos debe trazar un plan estratégico para la correcta puesta en marcha y aplicación de todas las medidas establecidas dentro del nuevo plan normativo.
Medidas de seguridad
El reglamento anterior, detallaba explícitamente que medidas deberían tomarse para la seguridad en el tratamiento de los datos con los que la empresa trabaja.
Ahora, con la nueva normativa, el Delegado de Protección de Datos tiene la potestad de decidir qué medidas deben tomarse. En función de las necesidades que tenga la empresa, los datos con los que trabaje y los posibles riesgos se trazará el plan de acción adecuado.
Estas medidas de seguridad deberán establecerse tras un análisis de riesgos previo. Además hay que implantar medidas complementarias si el riesgo fuera escesivo.
Notificación de “violaciones de seguridad”
Este es uno de los aspectos más delicados en lo que respecta a la nueva normativa. El Delegado de Protección de Datos, tiene la obligación de notificar cualquier quiebra de la seguridad a la autoridad de protección de datos competente. No es necesario si dicha violación no supone un riesgo para los derechos y libertades de los usuarios.
Dicha notificación debe darse dentro de las 72 horas siguientes de que se produzca. Debe especificar: la naturaleza de la violación; categorización y naturaleza de los datos afectados; y medidas de contingencia tomadas; además todas estas acciones deben ser documentadas.
Solo en caso de que la violación sea de gravedad también debe notificarse a los propios usuarios. De esta forma tendrán la posibilidad de tomar las medidas de seguridad que crean pertinentes.
Evaluación del impacto sobre la Protección de Datos
En algunas ocasiones el tratamiento de datos puede conllevar altos riesgos para los usuarios. En estos casos, es responsabilidad de Delegado de Protección de Datos realizar una evaluación sobre el impacto que conllevará ese tratamiento que se está evaluando.
Además, esta evaluación debe hacerse con carácter retroactivo de la puesta en vigor de la nueva ley. En caso de que haya habido daños que no puedan mitigarse se debe notificar a la autoridad competente.
Adaptación a los nuevos tiempos
En definitiva, esta serie de responsabilidades de la nueva figura son de gran importancia para la empresa. El aumento de las sanciones con la nueva normativa hace que deban ser tomadas muy en serio.
Por este y otros motivos, en este periodo de transición, si no tienen del todo claro cómo actuar y poner en marcha esta serie de medidas, no dude en contar con una empresa especializada. Como conclusión, una pequeña inversión en adaptación puede ser un gran seguro a largo plazo.