A partir del pròxim 25 de maig de 2018 entra en vigor el nou Reglament Europeu General de Protecció de Dades, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, una norma que serà d’aplicació obligatòria a partir d’aquesta data i que imposa a les empreses nombrosos deures en relació a la privadesa. Una de les exigències que introdueix és la designació obligatòria d’un delegat de protecció de dades o Data Protection Officer (DPO, per les seves sigles en anglès) per vetllar o supervisar que es realitza el compliment de la normativa de LOPD adequadament, en el cas d’autoritats i organismes públics, entitats que realitzin una observació habitual i sistemàtica de les persones a gran escala, i entitats que tinguin entre les seves activitats principals el tractament, també a gran escala, de dades sensibles.
A partir del pròxim 25 de maig de 2018 entra en vigor el nou Reglament Europeu General de Protecció de Dades (RGPD), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, una norma que serà d’aplicació obligatòria a partir d’aquesta data i que imposa a les empreses nombrosos deures en relació a la privadesa.
Una de les obligacions que està causant més polèmica és la figura del delegat de protecció de dades o Data Protection Officer (DPO). En primer lloc, s’ha d’assenyalar que no sempre és necessària la figura d’un delegat de protecció de dades en l’empresa, no obstant això, encara que no sigui obligatòria pot ser aconsellable tenir un expert en la matèria que supervisi el nostre tractament de la informació de caràcter personal, ens assessori i orienti en les mesures a corregir per complir amb la legislació vigent.
Així el primer pas que cal donar per a l’adaptació al nou reglament és veure si l’empresa o organització està obligada a designar un DPO o si l’assumeix voluntàriament. En cas de no ser necessari designar un DPO, haurà d’identificar a les persones responsables de coordinar l’adaptació al nou RGPD.
Atenció. El Data Protection Officer (DPO) constitueix així un dels elements clau de l’adaptació al RGPD i un garant del compliment de la normativa de protecció de dades en les organitzacions.
Quan és obligatòria la designació d’un DPO?
L’article 37 del RGPD fixa l’obligatorietat de la seva designació en aquests casos:
- Quan el tractament de les dades sigui realitzat per un organisme públic.
- Quan les activitats principals consisteixin en operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
- Si les activitats principals del responsable impliquen el tractament a gran escala de dades especials (article 9 del RGPD) o personals referits a condemnes o delictes.
Quina novetat s’estableix en el projecte de Llei orgànica de protecció de dades?
Cal tenir en compte que actualment s’està elaborant una nova LOPD que derogarà l’actual. En aquest cas, el projecte de Llei orgànica de protecció de dades, en el seu article 34, enumera una sèrie d’entitats en les quals serà obligatòria la designació d’un DPO. No obstant això, hem de tenir present que es desconeix la data de publicació de la nova Llei i per tant, el seu contingut encara no és vigent i com a projecte encara pot sofrir algunes alteracions.
No obstant això, l’assenyalat en el projecte és que la figura del DPO serà obligatòria per a algunes empreses, entitats i organitzacions. En concret:
- Col·legis professionals
- Centres docents, que ofereixin ensenyaments reglats i les universitats públiques i privades.
- Prestadors de serveis de comunicacions electròniques, incloses les companyies telefòniques i els proveïdors d’accés a internet, sempre que tractin perfils a gran escala.
- Prestadors de serveis de la societat de la informació, quan elaborin a gran escala perfils dels usuaris del servei.
- Entitats de crèdit (bancs, les caixes d’estalvis, les cooperatives de crèdit i l’Institut de Crèdit Oficial).
- Empreses de foment del finançament empresarial.
- Entitats asseguradores.
- Empreses de serveis d’inversió que ofereixin serveis d’inversió borsàries i de fons d’estalvi.
- Distribuïdores i comercialitzadores d’electricitat.
- Organitzacions que avaluen la solvència patrimonial i crèdit.
- S’inclouen els responsables dels fitxers regulats per la Llei de prevenció del blanqueig de capitals i del finançament del terrorisme.
- Empreses de publicitat i prospecció comercial, incloses empreses que elaborin perfils del consumidor.
- Centres sanitaris.
- Emissors d’informes comercials.
- Operadors de joc electrònic.
- Empreses de seguretat privada, activitats regulades pel Títol II de la Llei 5/2014, de 4 d’abril, de Seguretat Privada, i també els despatxos de detectius privats.
Les empreses poden decidir, encara que no s’incloguin en els supòsits anteriors, comptar amb DPO de dades intern o extern.
La figura del delegat de protecció de dades (DPO)
El DPO podrà estar en plantilla o ser un consultor extern a l’organització. Independentment de l’opció escollida, aquesta persona haurà d’actuar amb total independència en les seves funcions, per garantir que es compleixi la normativa.
El DPO haurà de comptar amb coneixements tècnics i jurídics, i òbviament en protecció de dades i actuarà de forma independent.
- Un grup empresarial podrà nomenar un únic delegat de protecció de dades.
- El delegat de protecció de dades serà designat atenent a les seves qualitats professionals i, en particular, als seus coneixements especialitzats del dret i la pràctica en matèria de protecció de dades.
- El DPO podrà formar part de la plantilla del responsable o exercir les seves funcions en el marc d’un contracte de serveis.
- El responsable o encarregat de tractament publicaran les dades de contacte del DPO i els comunicaran a l’autoritat de control (AEPD).
- El responsable garantirà que el DPO no rebi cap instrucció pel que fa a l’acompliment de les seves funcions. No serà destituït ni sancionat i rendirà comptes directament al més alt nivell jeràrquic.
- El delegat podrà exercir altres funcions i comeses. El responsable garantirà que aquestes funcions no donin lloc a conflicte d’interessos.
Les seves funcions principals seran:
- Informar i assessorar al responsable i als empleats que s’ocupin del tractament de les obligacions que els incumbeixen.
- Supervisar el compliment del que es disposa en el RGPD i altres disposicions de protecció de dades.
- Oferir l’assessorament que se li sol·liciti sobre l’avaluació d’impacte relativa a la protecció de dades.
- Cooperar i actuar com a punt de contacte amb l’autoritat de control.
Certificació com a DPO
L’Agència Espanyola de Protecció de Dades (AEPD), en col·laboració amb l’Entitat Nacional d’Acreditació (ENAC), ha presentat un esquema de certificació per a l’exercici professional de delegat de protecció de dades. L’AEPD es converteix així en la primera autoritat de control europea a desenvolupar un esquema de certificació per a l’exercici de delegats de protecció de dades (DPD).
L’objectiu és oferir seguretat i fiabilitat tant als professionals de la privadesa com a les empreses i entitats que incorporaran la figura del DPO a les seves organitzacions oferint un mecanisme que permet certificar que els DPO reuneixen la qualificació professional i els coneixements requerits.
No obstant això, cal destacar que aquesta certificació no serà obligatòria, si bé aquest sistema de certificació ofereix una seguretat i fiabilitat per a les empreses quant al fet que tots aquells que superin aquest esquema de certificació comptaran amb els coneixements i aptituds necessàries per poder exercir la seva labor com a DPO.
No obstant això, a causa que es tracta d’un esquema de recent creació el dia d’avui encara no hi ha entitats acreditades per a aquesta activitat de certificació, únicament, una primera autorització, que de moment és provisional, emesa per l’Agència Espanyola de Protecció de Dades.
Per a més informació: