Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Delegado de Proteccion de Datos, Guías, Proyectos, Investigaciones de Biblioteconomía y Documentación

Las implementaciones en la nueva ley de proteccion de datos

Tipo: Guías, Proyectos, Investigaciones

2018/2019

Subido el 04/01/2019

carlos-pereira-3
carlos-pereira-3 🇪🇸

1 documento

1 / 18

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Delegado de Protección de Datos.
1 | Página
Delegado de
Protección de
Datos.
Documentación e
Informática Jurídica.
Carlos Pereira Duran;NP 120254
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12

Vista previa parcial del texto

¡Descarga Delegado de Proteccion de Datos y más Guías, Proyectos, Investigaciones en PDF de Biblioteconomía y Documentación solo en Docsity!

Delegado de

Protección de

Datos.

Documentación e

Informática Jurídica.

Carlos Pereira Duran;NP 120254

Tabla de contenido

  • Introducción.............................................................................................................
  • La figura del Delegado de Protección de Datos...........................................................
  • Normativa del RGPD en el ámbito empresarial y gubernamental...............................
  • Conocimientos y habilidades del DPD.........................................................................
  • Funciones establecidas en el Reglamento....................................................................
  • Posición de un DPD......................................................................................................
  • Sujetos afines a un DPD.............................................................................................
  • Conclusiones..........................................................................................................

La figura del Delegado de Protección de Datos...........................................................

Es posible instituir como base a la Carta de los Derecho Fundamentales de la Unión Europea, específicamente a el artículo 8,1 que establece que “toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan”, en el mismo sentido se puede establecer una relación con el Reglamento General de Protección de Datos (en adelante, RGPD) de la Unión Europea, la cual, inició su aplicación el pasado 25 de mayo del presente año. Este reglamento presenta la necesidad de que se reconozcan poderes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal. Por lo tanto, una de las medidas introducidas por el RGPD es la instauración del Delegado de Protección de Datos (en adelante, DPD).

El inicio de esta figura se instaura el 24 de octubre de 19995, cuando se aprueba la Directiva 95/46/CE en la que ya se preveía de manera muy parcial la figura del DPD en el artículo 18 apartado segundo, sin embargo, la aplicación de este artículo por parte de los miembros de la Unión Europea tales como Alemania, Francia y Holanda, tuvo una regulación muy dispar, pues estos países tenían la facultad de regular la figura del DPD con sus propios términos, lo que conllevaba, a un inestabilidad en la protección de datos.

Pero, tras verse la efectividad de esta medida de protección la Confederación de Organizaciones Europeas de Protección de Datos (en adelante, CEDPD), con la Comisión Europea y el Grupo de Trabajo de Articulo 29, propusieron implementar la actual regulación del DPD, la que se plasmó en la Sección Cuarta del RGPD denominado como “Delegado de Protección de Datos”, esta medida fue aplicada de manera general en la Unión Europea el 24 de mayo de 2016 que entró en vigor y que no estuvo sujeto a aplicación hasta el 25 de mayo de 2018.

Con el objetivo de matizar la actuación del DPD, se puede señalar lo dispuesto en el considerando 97 del RGPD, el delegado puede ser definido como un supervisor que ayuda al encargado o responsable de tratamiento con el objetivo de cumplimentar el reglamento exigido legalmente, por lo tanto, se puede citar lo siguiente:

« Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con

las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el Art. 10. »

En el primer apartado del precepto queda totalmente claro, ya que se refiere a un organismo público y no hay mayor explicación, sin embargo, los dos últimos apartados no quedan totalmente precisados por el RGPD. Por lo tanto, ha de hacerse una matización los dos últimos apartados de este precepto; entonces, haciendo referencia a el apartado segundo del artículo 37, éste toma un aspecto de edicto para quienes están sujetos al “tratamiento de datos por la propia naturaleza de su actividad y/o para permitir el desarrollo es esta misma”; por consiguiente, el RGPD instaura la figura del DPD dentro del ámbito privado siempre que resulte necesario, sin embargo, más adelante se verá que puede ser, de igual manera, voluntario. Entonces, esta figura será capaz de tener una relación comercial o laboral con el responsable o encargado del tratamiento de datos.

Sin embargo, es necesario mencionar que los especialistas en la materia de protección de datos señalaron que la contratación externa de una figura como es el DPD dependerá de las características de la organización, además, de las características de los datos que vayan a ser manipulados, al igual que el tratamiento exigido para cada uno de estos casos.

Seguidamente, es inevitable eludir a qué se hace mención cuando se habla de “datos a gran escala1”, pues no consiste solamente en la manipulación de datos de manera general, pues, aquí influye no solo el volumen o el número de este, sino también el alcance geográfico y el tiempo de permanencia de estos datos por la empresa.

Por último, las empresas obligadas a contratar a un DPD deberán realizar un seguimiento regular, en otras palabras, una control continuado y sistemático, o lo que es lo mismo, organizado y metódico. Este concepto no se hace referencia solamente a las empresas que manipulan datos personales a través de un tratamiento on-line, sino a las empresas que realicen un tratamiento de datos con total independencia de los mecanismos utilizados para esta labor.

1 Definicion proveniente del RGPD.

A modo de ejemplificar estos conceptos, el artículo 34 del Proyecto de Ley General de Protección de Datos (en adelante, PLOPD) prestablece algunos organismos que están obligados a contratar un DPD, “los responsables o encargados del tratamiento no incluidos en el párrafo posterior podrán designar de manera voluntaria un delegado de protección de datos2”, los siguiente cuentan con dicha obligación:

  • «Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 6/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el art. 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión.
  • Los distribuidores y comercializadores de energía eléctrica.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y créditos o de los ficheros comunes para la evaluación del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  • (^) Quienes desempeñen las actividades reguladas en la Ley 5/2014, de 4 de abril, de Seguridad Privada. »

2 Artículo 34 apartado 2 del PLOPD.

Por lo tanto, se pueden establecer el primer nivel de conocimientos, éste, aunque no esté concretamente detallado debe ser acorde con la complejidad, cantidad y sensibilidad de los datos que una organización privada o gubernamental trata. A modo de ejemplificar, el DPD puede necesitar una mayor cantidad de conocimientos cuando se manipulen datos especialmente complejos o con una alta sensibilidad; además, existe la posibilidad de que el trato de los datos se transfiera fuera de la Unión Europea o si esas transferencias fueran solo esporádicas, por lo que debe elegirse un DPD con detalle y con mucho cuidado debido a las infracciones que la organización podría sufrid.

El segundo nivel de conocimientos son las cualidades profesionales, sin embargo, el articulo 37.5 no aclarece cuales deben ser las cualidades profesionales que se deben tener en cuenta a la hora de contratar un DPD, por consiguiente, el Grupo de Trabajo del Articulo 29 esclarece que un factor importante es que tenga conocimientos sobre la legislación, practicas nacionales y europeas en relación con la materia de protección de datos y una especial, asimismo, una profunda comprensión del RGPD.

Por último, todo conocimiento relacionado con el “sector empresarial y de la organización del responsable del tratamiento es también útil4”. Igualmente, el DPD debe conocer las operaciones de tratamiento que se llevan a cabo, tanto como de los “sistemas de información como de las necesidades de seguridad y protección de datos del responsable o encargado del tratamiento”.

Funciones establecidas en el Reglamento....................................................................

El análisis de esta figura con relación a sus funciones debe partir obligatoriamente del artículo 39 del RGPD; estas funciones se detallan a continuación:

a. « informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; b. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

4 Recomendaciones del Grupo de Trabajo del Articulo 29.

c. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; d. cooperar con la autoridad de control; e. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.» En virtud de las funciones generales señalas anteriormente, es pertinente puntuar algunas de las funciones que, además, del asesoramiento y supervisión están implicadas intrínsecamente como, por ejemplo:

  • «Diseño e implantación de políticas de protección de datos
  • Auditoría de protección de datos
  • Establecimiento y gestión de los registros de actividades de tratamiento
  • Análisis de riesgo de los tratamientos realizados
  • Implantación de las medidas de protección de datos desde el diseño y protección
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Relaciones con las autoridades de supervisión
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos5» Conjuntamente, es propicio mencionar que, además, de las funciones generales que se encuentran en este artículo, es necesario que el DPD sea consciente de su función y sobre todo su obligación que le exige el artículo 39.2 del RGPD; mencionado precepto exige que el DPD actúe siendo consiente de los riesgos relativos con su desempeño laboral, especialmente con el alcance, los fines, la naturaleza y el contexto a la hora de ser empleado como esta nueva figura de protección.

A su vez, al verse las funciones del DPD como acciones mínimas el AEPD señala que esta figura tendrá la potestad de participar activamente de las aplicaciones sobre protección de datos, sobre todo cuando consista en temas como: la planificación

5 Funciones generales integradas por la Agencia Española de Protección de Datos.

contactar con el DPD de forma directa, fácil e instantánea. Además, el DPD, en conformidad con el artículo 38.5 del RGPD estará obligado a mantener en secreto todo lo que respecte con el desempeño de sus funciones dentro de la organización.

Finalmente, el articulo 37.7 no requiere que dentro de los datos de contacto del DPD se incluya el nombre, aunque el hecho de hacerlo seria recomendable, sin embargo, esta decisión corresponde al encargado o responsable del tratamiento y al DPD de decidir si este dato debe ser integrado. Adicionalmente el Grupo de Trabajo del Artículo 29 recomienda que las organizaciones informen a sus empleados de los datos de contacto del DPD para cualquier consulta o duda.

Posición de un DPD......................................................................................................

La posición de un DPD puede ser presentada de una manera bastante breve; según el RGPD estas características de esta nueva figura de protección de datos se encuentran plasmadas en el artículo 38, por lo tanto, lo más efectivo es hacer un listado de estas. Las posiciones son las siguientes:

a. « El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. b. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. c. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. d. (^) Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento. e. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

  1. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.»

Estos elementos deben ser altamente tomados en consideración a la hora de identificar la ubicación del DPD, bien si este es destinado para una empresa o un organismo público, asimismo, con el objetivo de concreta aún más este aspecto sobre la figura de protección de datos, es conveniente identificar cuatro aspectos que sobresalen una vez sea obligatorio o voluntario la contratación de esta figura de protección de datos.

Primeramente, es necesario revisar la cualificación específica, “teniendo en cuenta los conocimientos de la legislación, las prácticas y en particular a la ausencia de conflicto de intereses6”; un DPD interno o externo, puede trabajar juntamente con el responsable o encargado del tratamiento, o puede ser designado a través de una empresa mediante un contrato estipulado. También, esta figura debe tener una identidad publica, la identificación del DPD ha de ser comunicado a la Autoridad de Control por el responsable o encargado del tratamiento. Por último, el DPD tiene que tener libertad de actuación, en el RGPD establece que esta figura debe actuar con total independencia, por lo que no puede recibir ninguna tarea relativa a sus obligaciones por parte del responsable o del encargado del tratamiento.

Sujetos afines a un DPD.............................................................................................

Existen dos figuras similares al DPD contempladas dentro del RGPD, la primera es el responsable del tratamiento, el segundo es el encargado del tratamiento de datos. En relación con la primera figura, el responsable del tratamiento de datos puede ser una persona física o jurídica, autoridad pública, servicio u otro organismo que a fin de su deber ejerce actividad sobre datos personales7; en otras palabas, este individuo decide “por qué” y “cómo” deberán ser tratados los datos, por lo tanto, es quien decide establece las funciones que sus empleados desempeñaran con los datos personales.

En adicción, se puede presentar el caso cuando existan dos o más responsables del tratamiento de datos, esto puede consistir en que los responsables sean varios individuos o se distribuya la obligación con una o más organizaciones de igual manera; en este caso se los denominaría “corresponsables del tratamiento”; esta situación se encuentra plasmada en el artículo 26 del RGPD. Los corresponsables deben redactar un

6 Característica destacada por la empresa Conversia. 7 Definición presentada por la Comisión Europea.

Finalmente, a pesar de existir figuras similares en el Reglamento, ninguna de esta desarrolla la función de supervisión, por lo tanto, esta figura es muy única en su ámbito y se podría llegar a decir que indispensable en los casos de manipulación de datos en masa.

Webgrafía.

Agencia Española de Protección de Datos. (s.f.). EL DELEGADO DE PROTECCION DE DATOS EN LAS ADMINISTRACIONES PUBLICAS. Recuperado 4 diciembre, 2018, de https://www.aepd.es/404.html

Diariolaley, & Rocio, M. (s.f.). Directrices del GT29 sobre el delegado de protección de datos: figura clave para la responsabilidad. Recuperado 4 diciembre, 2018, de http://diariolaley.laley.es/home/ DT0000240801/20170112/Directrices-del-GT29-sobre-el-delegado-de- proteccion-de-datos-figura-clave-para-

GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. (s.f.). Directrices sobre los delegados de protección de datos (DPD). Recuperado 4 diciembre, 2018, de http://apdcat.gencat.cat/ web/.content/03-documentacio/ Reglament_general_de_proteccio_de_dades/documents/Guidelines-on- Data-Protection-Officers.pdf

Iberley. (s.f.-a). DELEGADO DE PROTECCIÓN DE DATOS. Recuperado 4 diciembre, 2018, de https://www.iberley.es/temas/delegado- proteccion-datos-dpo-62733?term=delegado+de+proteccion+de +datos&query=delegado+de+proteccion+de+datos&noIndex

Iberley. (s.f.-b). Funciones y posición dentro de la entidad, del delegado de protección de datos en el Reglamento General de Protección de Datos (RGPD). Recuperado 4 diciembre, 2018, de https://www.iberley.es/ temas/funciones-posicion-entidad-delegado-proteccion-datos-dpo- rgpd-62735?term=delegado+de+proteccion+de +datos&query=delegado+de+proteccion+de+datos&noIndex

Iberley. (s.f.-c). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) - Diario Oficial de la Unión Europea de 04-05-2016. Recuperado