En este nuevo entregable sobre la figura del Delegado de Protección de Datos (DPD o DPO) vamos a detallar las funciones y responsabilidades que tiene esta nueva figura dentro de las empresas.
En el capitulo anterior, os dimos los requisitos acerca de este nombramiento, y la semana que viene trataremos sobre la certificación en esta materia.
¿Cuáles son las funciones del Delegado de Protección de Datos?
Las funciones del Delegado de Protección de Datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:
– Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
– Supervisar el cumplimiento del RGPD y del resto de normativa relacionada y aplicable con la protección de datos, de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en el tratamiento de datos, y las auditorías correspondientes.
– Dar el asesoramiento relacionado con la evaluación de impacto relativa a la protección de datos y supervisar la aplicación de la misma, conforme al artículo 35 del RGPD.
– En relación a la autoridad de control, ser el punto de contacto en relación al tratamiento, realizar las consultas necesarias y además cooperar con ésta.
¿Es independiente el delegado de protección de datos en el ejercicio de sus funciones?
Existen garantías básicas paras que los DPD puedan realizar sus tareas con la suficiente autonomía dentro de la organización, recogidas en el artículo 38, apartado 3, del RGPD.
En particular, los responsables o encargados del tratamiento están obligados a garantizar que el DPD «no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones«.
Además de dicho artículo, el considerando 97 del RGPD añade que los DPD «sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente».
No obstante, que los DPD sean autónomos, no significa que tengan poder para adoptar decisiones más allá de sus funciones expuestas en la primera cuestión de este boletín.
¿Cuál es la posición del DPD en una organización?
Tanto el responsable como el encargado del tratamiento, garantizarán que el DPD «participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales» tal y como recoge el articulo 38 del RGPD. Es fundamental que el DPD, o su equipo, participen desde el inicio en todas las cuestiones relativas a la protección de los datos.
También es importante que el DPD se tenga como un interlocutor dentro de la organización y sea parte de aquellos equipos de trabajo que tengan como responsabilidad, el llevar a cabo las actividades de tratamiento de los datos en la organización.
Para ello, la organización debe garantizar, por ejemplo, que:
– Se invite al DPD a las reuniones de los directivos.
– Que el DPD esté presente cuando se toman decisiones relacionadas con la protección de datos y recordando que se debe tener en cuenta la opinión de éste des de un inicio.
– Su opinión se debe tener en cuenta siempre, como por ejemplo sobre una violación de la seguridad de los datos o cualquier otro incidente.
¿Qué medios puede disponer un delegado de protección de datos?
Para que el DPD pueda llevar a cabo todo lo que venimos anunciando, el responsable del tratamiento debe facilitarle todos los recursos necesarios para desarrollar su actividad.
El artículo 38.2 del RGPD prevé que la organización respalde a su DPD «facilitando los recursos necesarios para el desempeño de [sus] funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados«.
Para saber qué tipo de medios debe el Responsable de tratamiento proporcionar al DPD, el Grupo de Trabajo del artículo 29 menciona los siguientes aspectos:
– Apoyo activo a la labor del DPD por parte de la alta dirección (al nivel del consejo de administración).
– Tiempo suficiente para que el DPD cumpla con sus funciones.
– Apoyo adecuado en cuanto a recursos financieros, infraestructura (locales, instalaciones, equipos) y personal, según sea necesario.
– Comunicación oficial de la designación del DPD a todo el personal.
– Acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
– Formación continua.
– En función del tamaño y estructura de la organización, puede ser necesario establecer un equipo de DPD (un DPD y su personal).
En general, cuanto más complejas o sensibles sean las operaciones de tratamiento, más recursos deberán destinarse al DPD. La función de protección de datos debe desempeñarse con eficacia y dotarse con los recursos suficientes para el tratamiento que se esté realizando.
¿Cuál es la responsabilidad de un delegado de protección de datos?
Los DPD NO son personalmente responsables en caso de incumplimiento del RGPD.
El RGPD deja claro (art. 24.1 RGPD) que es el responsable o el encargado del tratamiento es quien está obligado a garantizar y ser capaz de demostrar que el tratamiento se realiza de conformidad con sus disposiciones. Por tanto, el cumplimiento de las normas sobre protección de datos es responsabilidad del responsable o del encargado del tratamiento y la función del DPD es supervisar la observancia.
Para un buen cumplimiento es el responsable y no el DPD quien está obligado a aplicar las medidas técnicas y organizativas apropiadas para garantizarlo. El cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento, no del DPD.
El que debe demostrar el cumplimiento por tanto y como conclusión es el Responsable o Encargado del tratamiento.
¿Debe el DPD realizar el análisis de riesgo?
Quién debe realizar el Análisis de riesgos es el Responsable de tratamiento, pero éste requiere que el DPD desarrolle sus funciones y preste atención a los riesgos que conlleve el tratamiento de acuerdo a la naturaleza, alcance contexto y fines del mismo.
Por tanto, quien tiene la obligación de llevar a cabo el análisis de riesgos es del responsable y la función del DPD es asesorar al responsable en el cumplimiento de las obligaciones derivadas del RGPD.
¿Cuál es el papel del delegado de protección de datos en una evaluación de impacto?
De acuerdo al RGPD es el Responsable del tratamiento quien debe realizar las evaluaciones de impacto y no el DPD.
Al DPD se le solicitará asesoramiento y posteriormente éste deberá supervisar la aplicación de dicha evaluación. El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:
– si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos.
– qué metodología debe seguirse.
– si debe realizarse la evaluación de impacto por la misma organización o subcontratarse.
– qué medidas, tanto técnicas como organizativas, deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.
¿Qué papel juega un delegado de protección de datos en el mantenimiento del registro de actividades?
El registro de actividades es el registro de todas las actividades de tratamiento que lleva a cabo tanto el responsable como el encargado.
El artículo 30.1 y 30.2 del RGPD nos dice que es el responsable o el encargado del tratamiento, y no el DPD, quien está obligado a llevar y mantener este registro de actividades de tratamiento.
El DPD puede tener asignado como tarea, encargarse de mantener el registro, ya que el RGPD establece un listado de tareas mínima, entre las que se puede añadir esta.