Es muy importante saber qué funciones tiene el Delegado de Protección de Datos (DPD) porque el Reglamento General de Protección de Datos (RGPD) convierte al DPD en el eje clave del modelo. Es quien hace posible el cumplimiento de la normativa de protección de datos en las organizaciones y empresas.

El RGPD, en su artículo 37, establece cuando un responsable o encargado debe proceder a su designación, teniendo en cuenta que el propio reglamento no exige que quien desempeñe este papel tenga que ser, necesariamente, jurista, aunque deberá contar con conocimientos especializados en protección de datos y que la figura del DPD podrá ser interno o externo de la empresa u organización y persona física o persona jurídica especializada en esta materia.

Por tanto, en este breve artículo repasaremos las funciones del DPD, su código ético y los compromisos que adquiere la empresa que decida externalizar este servicio.

El DPD tendrá las siguientes funciones:

• Informar y asesorar a la empresa cliente y a todos los miembros de sus distintos equipos que se ocupen del tratamiento, de las obligaciones que les incumben en virtud de la legislación de protección de datos.
• Supervisar el cumplimiento de lo dispuesto en la legislación de protección de datos y de las políticas de la empresa cliente, incluida la asignación de responsabilidades, concienciación y formación del personal, y las auditorías correspondientes.
• Ofrecer asesoramiento acerca de la Evaluación de Impacto (EIPD) relativa a la protección de datos y supervisar su aplicación de conformidad con la normativa.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la Autoridad de Control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.

CÓDIGO ÉTICO DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Todas las funciones y tareas desempeñadas por el DPD estarán sujetas a los siguientes principios:

• Legalidad e integridad, cumpliendo estrictamente con la legalidad vigente, en particular la referida a la prestación del servicio, al objeto de evitar que se lleve a cabo cualquier actividad ilícita.
• Profesionalidad, desarrollando sus funciones con la debida diligencia y rigor profesional, y manteniendo permanentemente actualizada su capacidad profesional y su formación personal; debiendo comportarse ante las personas, empresas, entidades y clientes de modo escrupulosamente leal e independiente de las limitaciones de cualquiera naturaleza que pueda influir su propia labor y la del personal del que, eventualmente, sea responsable.
• Responsabilidad en el desarrollo de su actividad profesional y personal, asumiendo sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.
• Imparcialidad, actuando con objetividad sin aceptar la influencia de conflictos de interés u otras circunstancias que pudieran cuestionar la integridad profesional y la de la propia organización a la que pertenece.
• Transparencia, informando a todas las partes interesadas de forma clara, precisa y suficiente de todos los aspectos que confluyen en el ejercicio profesional, siempre y cuando los mismos no estén sujetos al régimen de confidencialidad, en cuyo caso tendrán carácter reservado y no podrán ser divulgados.
• Confidencialidad, respetando y guardando la necesaria protección y reserva de la información a la que pudiera tener acceso por razón de actividad profesional, salvaguardando los derechos de todas las partes interesadas a su intimidad. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas.

COMPROMISOS DE LA EMPRESA U ORGANIZACIÓN CLIENTE

El responsable de tratamiento se obliga expresamente a los siguientes deberes en aras a facilitar el trabajo y desempeño del DPD.  

• Se garantizará que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
• Se invitará al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios cuando en estas reuniones se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.
• La opinión del DPD se tendrá siempre debidamente en cuenta. En caso de desacuerdo, se documentarán los motivos por los que no se sigue el consejo del DPD.
• Se consultará al DPD con la mayor prontitud posible, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
• Se deberán facilitar los recursos necesarios para el desempeño de las funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
• Se comunicará oficialmente la designación del DPD a todo el personal para garantizar que su existencia y función se conozcan dentro de la organización.
• Se facilitará el acceso necesario a otros servicios, como recursos humanos, departamento jurídico, TI, seguridad, etc., de modo que los DPD puedan recibir apoyo esencial, aportaciones e información de dichos servicios.
• Se garantiza la independencia del DPD, no recibiendo ninguna instrucción en lo que respecta al desempeño de sus funciones que pueda influir en dicha independencia. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones

Las funciones y cometidos del DPD no pueden dar lugar a conflicto de intereses, en caso de recibir instrucciones o funciones ajenas a las propias de DPD.

Artículo realizado por Javier Espina Hellín CEO QLC SLP, doctor en Ingeniería de Sistemas de Información, MBA, ADE nº colegiado 11.534 y Licenciado en Gestión Comercial y Marketing

El Reglamento General de Protección de Datos (RGPD) implica a cualquier organización que opere en la Unión Europea y las que, aun no teniendo su domicilio físico en la Unión, utilicen datos de ciudadanos europeos. Sustituye a la LOPD que sólo tenía efecto en el territorio español.

Pretende hacer frente a un nuevo reto legal que plantea la captación, el tratamiento de datos de carácter personal por parte de empresas y nuevos operadores, de la nueva sociedad digital, garantizando la protección de los usuarios en materia de privacidad y seguridad de su información personal.

Comienza con la novedosa definición de lo que es un dato personal como “cualquier información que permita identificar de forma unívoca a un usuario, incluso de manera indirecta”.

Algunos ejemplos serian una IP, un código de usuario o una localización física temporal.

Además, la RGPD obliga a que el consentimiento sea explícito, con una base jurídica explicada de forma concisa y nunca sobreentendida por lo que, en la práctica, si no contamos con el consentimiento, este no existe.

El nuevo RGPD propone una metodología operativa de cumplimiento para las empresas, que incluye la necesidad de hacer un análisis de impacto y de riesgo, certificaciones, registros de tratamiento de la información, protocolos de comunicación a las autoridades en caso de violaciones de seguridad y, la obligación a que sean auditadas periódicamente.

Contempla, también, cuantiosas sanciones y multas en caso de infracción que pueden alcanzar los 20 millones de euros o el 4% de la facturación de una empresa, siendo siempre la mayor de las dos posibilidades.

¿Qué supone el RGPD para las empresas?

La implementación y adecuación de la normativa implica un plan de transformación y actuaciones en la estructura organizativa, los procesos internos, la gestión de los datos estructurados/ desestructurados, análisis de los canales donde se captan esos datos, y por supuesto, protocolos de seguridad y comunicación de los eventos de ruptura.

En definitiva, gestionar el cambio (testing y formación), proyectos específicos de consultoría (internos y/o externos) que permitan diseñar las políticas y los procesos necesarios (por ejemplo, aumenta los niveles de comunicación previa con los clientes/usuarios y sus permisos) para garantizar el cumplimiento, y un “roadmap” como guía hacia una implantación exitosa del nuevo RGPD.

En ese camino hacia la transformación digital, la RGPD hace posible que las empresas, mediante una correcta explotación de los datos, puedan obtener cuantos “insights” necesiten para conocer, e incluso, predecir las tendencias y patrones de comportamiento de sus clientes (a través de herramientas tecnológicas para enmascaramiento de datos, almacenamiento agregado, anonimización y la explotación de vectores de información) pero respetando la protección personal de los usuarios sin vulnerar la ley.

3 novedades del RGPD

1.     Proactividad de la empresa o “medidas de responsabilidad proactiva” que son:

·       Análisis de riesgo.

·       Registro de actividades del tratamiento.

·       Protección de datos desde el diseño y por defecto.

·       Adopción de medidas de seguridad.

·       Notificaciones de “violaciones de seguridad de los datos”

·       Evaluaciones de impacto sobre la protección de datos.

·       Nombramiento del Delegado de Protección de Datos.

2.   Consentimiento expreso e “inequívoco”

·       Pedir los datos imprescindibles (mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos).

·       Puede ser para uno o varios fines.

·       Debe ser prestado de forma libre.

·       Revocable.

·       El responsable debe poder probar en todo momento que ha obtenido el consentimiento.

·       Utilizar un lenguaje claro y sencillo

3.     Los clientes o usuarios están legitimados a ejercer sus derechos ARCO+2 (derechos de acceso, rectificación, supresión o “derecho al olvido”, oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento

Nuestro trabajo, con todo el equipo de Qualitas Lex Consulting, consiste en la adaptación e implantación del Reglamento General de Protección de Datos (RGPD) en su empresa.

Analizamos tanto los procesos internos de trabajo, por actividad de tratamiento, como los diferentes documentos que se utilizan en la gestión diaria de la empresa, por área funcional, teniendo en cuenta que existen 2 dimensiones en los riesgos (modulados por probabilidad y gravedad) para los derechos y libertades de las personas físicas:

·       riesgos asociados a la protección de la información (enfocados en la integridad, disponibilidad y confidencialidad)

·       riesgos asociados al cumplimiento con la regulación relacionado con los derechos y libertades de los interesados

Es muy importante señalar la necesidad de mantener documentados todos los procesos para poder acreditar la diligencia en el cumplimiento del RGPD y demostrar la proactividad en el cumplimiento normativo

Para ello, se contemplan una serie de actuaciones expresadas en lo que denominamos “Modelo de Cumplimiento QLC”, desarrollado en 5 fases, cuyo objetivo final es asegurar la observación, adecuación, revisión, actualización y cumplimiento conforme a la nueva normativa vigente desde el pasado 25 de mayo de 2018.

Dentro de las actuaciones previstas, hacemos una mención especial a la sesión formativa que extenderemos a todo el equipo de la empresa y en sus instalaciones.

Finalmente, incluimos en nuestra propuesta la posibilidad opcional de un asesoramiento permanente y exclusivo con el fin de mantener actualizada a la empresa en el cumplimiento de la normativa, y la construcción de una Política de Protección de Datos Personales.

Artículo realizado por Javier Espina CEO en QLC SLP

1. Análisis de riesgos (risk assessment). Las organizaciones, las empresas, los profesionales y los autónomos en general, desde la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) el día 25 de mayo de 2018, deben realizar análisis periódicos de los riesgos derivados del tratamiento de datos personales durante todos sus procesos y trámites.

2. Evaluaciones del impacto en privacidad (privacy impact assessments). Si los análisis arrojan un nivel alto de riesgo, se deben realizar auditorías o evaluaciones de impacto de todos los procesos en relación con las potenciales situaciones o escenarios en los que los datos personales pudiesen quedar comprometidos. Se trata de adoptar las medidas técnicas y de seguridad adecuadas para así tener bajo control y mitigados los riesgos detectados.

3. Registro de actividades de tratamiento (en formato electrónico). Las organizaciones con más de 250 trabajadores o que traten datos sensibles o que puedan generar riesgos cualificados para los interesados, deben llevar un registro de actividades de tratamiento y tenerlo a disposición de la Agencia Española de Protección de Datos (AEPD).

4. Ha desaparecido la obligación de inscribir los ficheros en el registro de la AEPD.

5. El principio de responsabilidad activa de los responsables y de los encargados (art. 24 RGPD). El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

6. Es obligada la formación al personal que intervenga en el tratamiento de datos de carácter personal.

7. Se deben cumplir con los principios relativos al tratamiento de datos personales (art. 5 RGPD):

• Licitud, lealtad y transparencia en el tratamiento de los datos personales.

• Limitación de la finalidad: los datos se recogen por unos fines determinados, explícitos y legítimos.

• Minimización de datos: los datos deben ser adecuados, pertinentes y limitados.

• Exactitud de los datos: los datos deben ser exactos y actualizados.

• Limitación del plazo de conservación: no se puede superar el tiempo necesario para los fines del tratamiento de los datos personales.

8. Cuando los datos personales se consiguen de los propios interesados, el responsable del tratamiento debe recabar el consentimiento libre, específico, informado, explícito e inequívoco del propio interesado. El consentimiento tácito ya no es válido.

9. Las organizaciones y las empresas deben contar con protocolos que hagan efectivos los derechos reconocidos de los interesados como son: el derecho de acceso, de portabilidad (obliga al responsable a facilitar una copia completa de los datos en soporte electrónico y en formato compatible), de rectificación o supresión de los datos personales y de la limitación y oposición al tratamiento, inclusive el novedoso derecho al olvido.

10. En determinados casos es obligatorio el nombramiento de un Delegado de Protección de Datos Personales (data protection officer DPO) según establece el art. 37 RGPD. Esta persona que goza de plena libertad, autonomía e independencia en el ejercicio de su función, disponiendo de conocimientos suficientes en Derecho y práctica en materia de protección de datos, es quien asesora al responsable del tratamiento, coordina y evalúa los sistemas de cumplimiento de la norma y de evaluación de los riesgos de incumplimiento, y encauza las comunicaciones de la AEPD y los interesados con la empresa.

11. Las empresas como responsables deben demostrar que seleccionan, controlan y hacen seguimiento de sus proveedores, suministradores, subcontratistas, asesores y en general cualquier prestador de servicios, en materia de cumplimiento de protección de datos.

12. Los encargados del tratamiento por su parte deben soportar auditorías periódicas de los responsables.

13. Las relaciones entre responsables y encargados deben documentarse en un contrato que puede generarse en formato electrónico. Estos contratos deben tener un contenido mínimo para que se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

14. Los fallos de seguridad, en particular los que tengan como consecuencia una fuga de datos, deben comunicarse a la AEPD en un plazo máximo de 72 horas y a los interesados. El diseño de un protocolo en este ámbito requiere que en caso de ciberataques que constituyan un ilícito penal, se denuncien bien a la Fiscalía, bien a las Fuerzas y Cuerpos de Seguridad del Estado y al  CERTSI, a fin de controlar y mitigar las consecuencias negativas del riesgo.

15. El uso de algoritmos predictivos basados en BIG DATA para crear perfiles personales, debe estar bajo constante supervisión para así evitar situaciones discriminatorias, controlar la intervención humana en partes del proceso, garantizar la transparencia y la audiencia del interesado. El uso de las técnicas de pseudonimización y anonimación en los tratamientos masivos debe igualmente regularse, ordenarse y controlarse.

 Para más info, pulse este link.

By Sergio Gayoso Merino
14.05.2018