Es muy importante saber qué funciones tiene el Delegado de Protección de Datos (DPD) porque el Reglamento General de Protección de Datos (RGPD) convierte al DPD en el eje clave del modelo. Es quien hace posible el cumplimiento de la normativa de protección de datos en las organizaciones y empresas.
El RGPD, en su artículo 37, establece cuando un responsable o encargado debe proceder a su designación, teniendo en cuenta que el propio reglamento no exige que quien desempeñe este papel tenga que ser, necesariamente, jurista, aunque deberá contar con conocimientos especializados en protección de datos y que la figura del DPD podrá ser interno o externo de la empresa u organización y persona física o persona jurídica especializada en esta materia.
Por tanto, en este breve artículo repasaremos las funciones del DPD, su código ético y los compromisos que adquiere la empresa que decida externalizar este servicio.
El DPD tendrá las siguientes funciones:
- Informar y asesorar a la empresa cliente y a todos los miembros de sus distintos equipos que se ocupen del tratamiento, de las obligaciones que les incumben en virtud de la legislación de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en la legislación de protección de datos y de las políticas de la empresa cliente, incluida la asignación de responsabilidades, concienciación y formación del personal, y las auditorías correspondientes.
- Ofrecer asesoramiento acerca de la Evaluación de Impacto (EIPD) relativa a la protección de datos y supervisar su aplicación de conformidad con la normativa.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la Autoridad de Control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.
CÓDIGO ÉTICO DEL DELEGADO DE PROTECCIÓN DE
DATOS (DPD)
Todas las funciones y tareas desempeñadas por el DPD estarán sujetas a los siguientes principios:
- Legalidad e integridad, cumpliendo estrictamente con la legalidad vigente, en particular la referida a la prestación del servicio, al objeto de evitar que se lleve a cabo cualquier actividad ilícita.
- Profesionalidad, desarrollando sus funciones con la debida diligencia y rigor profesional, y manteniendo permanentemente actualizada su capacidad profesional y su formación personal; debiendo comportarse ante las personas, empresas, entidades y clientes de modo escrupulosamente leal e independiente de las limitaciones de cualquiera naturaleza que pueda influir su propia labor y la del personal del que, eventualmente, sea responsable.
- Responsabilidad en el desarrollo de su actividad profesional y personal, asumiendo sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.
- Imparcialidad, actuando con objetividad sin aceptar la influencia de conflictos de interés u otras circunstancias que pudieran cuestionar la integridad profesional y la de la propia organización a la que pertenece.
- Transparencia, informando a todas las partes interesadas de forma clara, precisa y suficiente de todos los aspectos que confluyen en el ejercicio profesional, siempre y cuando los mismos no estén sujetos al régimen de confidencialidad, en cuyo caso tendrán carácter reservado y no podrán ser divulgados.
- Confidencialidad, respetando y guardando la necesaria protección y reserva de la información a la que pudiera tener acceso por razón de actividad profesional, salvaguardando los derechos de todas las partes interesadas a su intimidad. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas.
COMPROMISOS DE LA EMPRESA U ORGANIZACIÓN CLIENTE
El responsable de tratamiento se obliga expresamente a los siguientes deberes en aras a facilitar el trabajo y desempeño del DPD.
- Se garantizará que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
- Se invitará al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios cuando en estas reuniones se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.
- La opinión del DPD se tendrá siempre debidamente en cuenta. En caso de desacuerdo, se documentarán los motivos por los que no se sigue el consejo del DPD.
- Se consultará al DPD con la mayor prontitud posible, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
- Se deberán facilitar los recursos necesarios para el desempeño de las funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
- Se comunicará oficialmente la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
- Se facilitará el acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
- Se garantiza la independencia del DPD, no recibiendo ninguna instrucción en lo que respecta al desempeño de sus funciones que pueda influir en dicha independencia. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones
Las funciones y cometidos del DPD no pueden dar lugar a conflicto de intereses, en caso de recibir instrucciones o funciones ajenas a las propias de DPD.
Artículo realizado por Javier Espina Hellín CEO QLC SLP, doctor en Ingeniería de Sistemas de Información, MBA, ADE nº colegiado 11.534 y Licenciado en Gestión Comercial y Marketing