Nuestro partner AUDIDAT además de ofrecernos el soporte necesario para dar un servicio de calidad relacionado con la RGPD y protección de datos a nuestros clientes, nos mantiene actualizados sobre las novedades y obligaciones relacionadas con la explotación de datos a nivel comercial. Aquí os dejámos su último post sobre la figura del delegado de protección de datos, y os recomendámos que vistéis su blog.
La figura del Delegado de Protección de Datos fue introducida por el Reglamento General de Protección de Datos y sus funciones son las de supervisar, asesorar e informar al responsable de tratamiento con respecto de las obligaciones que le impone la normativa, facilitando el cumplimiento en protección de datos e incluso convirtiéndose en una ventaja competitiva frente a empresas de su sector.
En los últimos meses, ha saltado a los medios de comunicación la imposición de significativas sanciones administrativas por parte de la Agencia Española de Protección de Datos, a distintas entidades públicas y privadas, como consecuencia de la no designación de un Delegado de Protección de Datos en aquellos supuestos en que ello es obligatorio de acuerdo con lo establecido en la normativa aplicable.
Sirva ello para concienciar a quienes están obligados, pues no cabe duda de que el espíritu de esta figura y su inherente trascendencia en el seno de las organizaciones no han llegado a ser entendidos correctamente por todos ellos, y muchos de los sujetos obligados no solo tienen dudas, sino que desconocen por completo que deben designar un delegado de protección de datos, muy especialmente las pequeñas y medianas empresas obligadas a ello.
Sirva ello para concienciar a quienes están obligados, pues no cabe duda de que el espíritu de esta figura y su inherente trascendencia en el seno de las organizaciones no han llegado a ser entendidos correctamente por todos ellos, y muchos de los sujetos obligados no solo tienen dudas, sino que desconocen por completo que deben designar un delegado de protección de datos, muy especialmente las pequeñas y medianas empresas obligadas a ello.
Negar la realidad no es la mejor de las soluciones
Surge entonces la mecánica de pensamiento elusiva y negacionista por parte de muchos sujetos obligados: «esto solo lo necesitan los Ayuntamientos», «a mí quién me va a denunciar», «si somos una empresa muy pequeña», … y un largo etcétera de manidos clichés y excusas huecas en orden al propio y frágil autoconvencimiento de que en su organización no es necesario designar un delegado de protección de datos.
La introducción de la figura del delegado de protección de datos en nuestro ordenamiento jurídico no es un tema baladí, sino que tiene como fin principal la consolidación de una cultura de protección de datos en el seno de las organizaciones, concienciando e implicando a todo su personal en la garantía de los derechos de las personas que les han confiado su información personal. Es esta, por tanto, una cuestión de legalidad y de respeto de derechos, pero también de competitividad, porque pocas personas confiarán en una empresa que no proteja y atienda debidamente sus derechos.
De ahí nace el carácter trascendental de esta figura, pues el delegado de protección de datos está llamado a divulgar, informar, enseñar, asesorar… (en síntesis, «crear cultura de protección de datos» dentro de la organización) y también a atender las necesidades y los derechos de los interesados, controlando que los datos de todos ellos se protegen adecuadamente. Así mismo, el delegado de protección de datos tiene la obligación de actuar como punto de contacto con la Agencia Española de Protección de Datos, debiendo dar las explicaciones oportunas cuando la protección de los datos de los interesados haya podido verse comprometida.
Características que debe reunir el Delegado de Protección de Datos
Desde nuestro punto de vista, estos son los principales rasgos distintivos de un delegado de protección de datos óptimo para cualquier organización:
· Preferiblemente, he de ser un delegado de protección de datos externo, a fin de garantizar al máximo su independencia y la ausencia de cualquier conflicto de intereses.
· Ha de ser un delegado de protección de datos accesible y preferiblemente residente en la ciudad donde esté situada la sede del responsable del tratamiento, a fin de poder atender presencialmente a los interesados si ello fuese necesario.
· Ha de ser un delegado de protección de datos que garantice un nivel de conocimientos adecuado para el ejercicio de su función, para lo cual lo más correcto es que esté certificado de conformidad con el Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos (Esquema AEPD-DPD).
· Ha de ser un delegado de protección de datos que garantice la integridad y el elevado nivel de ética profesional que implica el ejercicio de su función, para lo cual lo más correcto es que esté expresamente acogido al Código Ético que recoge los valores, principios y normas que deben guiar la conducta de las personas certificadas como delegados de protección de datos, conforme al Esquema de Certificación de la Agencia Española de Protección de Datos (Esquema AEPD-DPD).
· Ha de ser un delegado de protección de datos que tenga un conocimiento específico suficiente del sector al que pertenece el responsable del tratamiento, respecto del cual va a ejercer la citada función.
Entidades y organismos que deberán designar un Delegado de Protección de Datos con carácter obligatorio
Interesa subrayar que no todas las organizaciones están obligadas a designar un delegado de protección de datos, sino que esta obligación afecta, en principio, a aquellas entidades públicas y privadas que expresamente recoge la normativa de protección de datos personales:
• Los colegios profesionales y sus consejos generales.Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
• Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.Las federaciones deportivas cuando traten datos de menores de edad.
Además, los responsables o encargados del tratamiento no incluidos en los puntos anteriores podrán designar de manera voluntaria un delegado de protección de datos que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales.
Vía www.audidat.com
Si estás interesado en este tema y servicios relacionados con protección de datos, no tengas reparo en contactarnos, estarémos encantado de asesorarte.
