Funcions del Delegat de Protecció de Dades – capítol II.


En aquest nou entregable sobre la figura del Delegat de Protecció de Dades (DPD – DPO) detallarem les funcions i responsabilitats que té aquesta nova figura dins les empreses.

Al capítol anterior, us vam donar els requisits sobre aquest nomenament i la setmana vinent tractarem sobre la certificació en aquesta matèria.

Quines són les funcions del Delegat de Protecció de Dades?

Les funcions del Delegat de Protecció de Dades es troben especificades en l’article 39 del RGPD, sent les següents:

– Informar i assessorar al responsable o a l’encarregat del tractament i als empleats que s’ocupin del tractament, de les obligacions del RPGD i altra normativa aplicable en protecció de dades.

– Supervisar el compliment del RGPD i de la resta de normativa relacionada i aplicable amb la protecció de dades, de les polítiques del responsable o encarregat del tractament en aquesta matèria, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en el tractament de dades, i les auditories corresponents.

– Donar l’assessorament relacionat amb l’avaluació d’impacte relativa a la protecció de dades i supervisar l’aplicació de la mateixa, conforme a l’article 35 del RGPD.

– En relació a l’autoritat de control, ser el punt de contacte en relació al tractament, realitzar les consultes necessàries i a més cooperar amb aquesta.

És independent el delegat de protecció de dades en l’exercici de les seves funcions?

Existeixen garanties bàsiques per què els DPD puguin realitzar les seves tasques amb la suficient autonomia dins de l’organització, recollides en l’article 38, apartat 3, del RGPD.

En particular, els responsables o encarregats del tractament estan obligats a garantir que el DPD “no rebi cap instrucció pel que fa a l’acompliment d’aquestes funcions”.

A més d’aquest article, el considerant 97 del RGPD afegeix que els DPD «siguin o no empleats del responsable del tractament, han d’estar en condicions d’exercir les seves funcions i comeses de manera independent».

No obstant això, que els DPD siguin autònoms, no significa que tinguin poder per adoptar decisions més enllà de les seves funcions exposades en la primera qüestió d’aquest butlletí.

Quina és la posició del DPD en una organització?

Tant el responsable com l’encarregat del tractament, garantiran que el DPD “participi de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals” tal com recull l’article 38 del RGPD.
És fonamental que el DPD, o el seu equip, participin des de l’inici en totes les qüestions relatives a la protecció de les dades.
També és important que el DPD es tingui com un interlocutor dins de l’organització i sigui part d’aquells equips de treball que tinguin com a responsabilitat, el dur a terme les activitats de tractament de les dades en l’organització.

Per això, l’organització ha de garantir, per exemple, que:

– Es convidi al DPD a les reunions dels directius.
– Que el DPD estigui present quan es prenen decisions relacionades amb la protecció de dades i recordant que s’ha de tenir en compte l’opinió d’aquest des d’un inici.
– La seva opinió s’ha de tenir en compte sempre, com per exemple sobre una violació de la seguretat de les dades o qualsevol altre incident.

De quins mitjans pot disposar un delegat de protecció de dades?

Perquè el DPD pugui dur a terme tot el que venim anunciant, el responsable del tractament ha de facilitar tots els recursos necessaris per desenvolupar la seva activitat.
L’article 38.2 del RGPD preveu que l’organització recolzi al DPD “facilitant els recursos necessaris per a l’acompliment de [les seves] funcions i l’accés a les dades personals i a les operacions de tractament, i per al manteniment dels seus coneixements especialitzats”.

Per saber quin tipus de mitjans ha de proporcionar el Responsable de tractament al DPD, el Grup de Treball de l’article 29 esmenta els següents aspectes:

– Suport actiu a la labor del DPD per part de l’alta directiva (al nivell del consell d’administració).
– Temps suficient perquè el DPD compleixi amb les seves funcions.
– Suport adequat en relació a recursos financers, infraestructura (locals, instal·lacions, equips) i personal, segons sigui necessari.
– Comunicació oficial de la designació del DPD a tot el personal.
– Accés necessari a altres serveis, com a recursos humans, departament jurídic, TI, seguretat, etc., de manera que els DPD puguin rebre suport essencial, aportacions i informació d’aquests serveis.
– Formació continua.
– En funció de la grandària i estructura de l’organització, pot ser necessari establir un equip de DPD (un DPD i el seu personal).

En general, com més complexes o sensibles siguin les operacions de tractament, més recursos hauran de destinar-se al DPD. La funció de protecció de dades ha d’exercir-se amb eficàcia i dotar-se amb els recursos suficients per al tractament que s’estigui realitzant.

Quin és la responsabilitat d’un delegat de protecció de dades?

Els DPD NO són personalment responsables en cas d’incompliment del RGPD.
El RGPD deixa clar (art. 24.1 RGPD) que el responsable o l’encarregat del tractament és qui està obligat a garantir i ser capaç de demostrar que el tractament es realitza de conformitat amb les seves disposicions. Per tant, el compliment de les normes sobre protecció de dades és responsabilitat del responsable o de l’encarregat del tractament i la funció del DPD és supervisar l’observança.

Per a un bon compliment de la normativa, és el responsable i no el DPD qui està obligat a aplicar les mesures tècniques i organitzatives apropiades per garantir-ho. El compliment de les normes en matèria de protecció de dades és responsabilitat corporativa del responsable del tractament, no del DPD.

El que ha de demostrar el compliment per tant i com a conclusió és el Responsable o Encarregat del tractament.

El DPD ha de realitzar l’anàlisi del risc?

Qui ha de realitzar l’Anàlisi de riscos és el Responsable de tractament, però aquest requereix que el DPD desenvolupi les seves funcions i tingui en compte els riscos que comporti el tractament d’acord a la naturalesa, context i finalitats del mateix.
Per tant, qui té l’obligació de dur a terme l’anàlisi de riscos és del responsable i la funció del DPD és assessorar al responsable en el compliment de les obligacions derivades del RGPD.

Quin és el paper del delegat de protecció de dades en una avaluació d’impacte?

D’acord al RGPD és el Responsable del tractament qui ha de realitzar les avaluacions d’impacte i no el DPD.
Al DPD se li sol·licitarà assessorament i posteriorment aquest haurà de supervisar l’aplicació d’aquesta avaluació. El Grup de Treball de l’article 29 recomana que el responsable del tractament busqui l’assessorament del DPD en les següents qüestions, entre d’altres:

– si ha de dur-se a terme o no una avaluació d’impacte relativa a la protecció de dades.
– quina metodologia ha de seguir-se
– si ha de realitzar-se l’avaluació d’impacte per la mateixa organització o subcontractar-se.
– quines mesures, tant tècniques com a organitzatives, han d’aplicar-se per mitigar qualsevol risc per als drets i interessos dels interessats.

Quin paper juga un delegat de protecció de dades en el manteniment del registre d’activitats?

El registre d’activitats és el registre de totes les activitats de tractament que du a terme tant el responsable com l’encarregat.
L’article 30.1 i 30.2 del RGPD ens diu que és el responsable o l’encarregat del tractament, i no el DPD, qui està obligat a portar i mantenir aquest registre d’activitats de tractament.

El DPD pot tenir assignat com a tasca, encarregar-se de mantenir el registre, ja que el RGPD estableix un llistat de tasques mínimes, entre les que es pot afegir aquesta.