Perkins Human Media

Calendario 2017 para la LOPD – Septiembre

Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Protección de Datos de Carácter Personal al nuevo RGPD 2016/679, se sigue en ésta los contenidos según el post Calendario 2017 para la LOPD – Septiembre que se corresponde con la Posición y Funciones del Delegado de Protección de Datos (Artículo 38 y 39 del RGPD)

Calendario 2017 para la LOPD - SeptiembreAntes de continuar se ha de hacer la siguiente aclaración: existe un artículo referente a esta figura que fue publicado, en esta web, bajo el título EL DELEGADO DE PROTECCIÓN DE DATOS; Nueva Figura Administrativa  de fecha 11 de febrero de 2016. En la mismo, se hace alusión a cuando el DPO adquiere el carácter de obligatorio, su nombramiento y su actitud de independencia. Por tanto no cabe la reiteración de conceptos.

Dicho lo cual, el RGPD dedica toda una sección (la cuarta) con tres artículos (37, 38 y 39) a esta figura. Optamos para esta entrada por los aspectos de posición y funciones del Delegado de Protección de Datos (Data Protection Officer – DPO en adelante).

Antes de proseguir será conveniente definir qué es un DPO. Hay que decir que el artículo 4 del RGPD, relativo a las definiciones, no especifica esta figura. Por tanto, habrá que buscar fuera de esta norma.

Es en el documento de trabajo de los Servicios de la Comisión relativo a la evaluación de impacto, de su propuesta (SEC(2012) 72 final, de 25 de enero), donde podemos encontrarla.

«…Una persona responsable dentro del responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo…» (traducción no oficial del original en inglés).

De dicha definición se ha de resaltar que no se restringe quien puede ser DPO, no obstante, no significa sin embargo que cualquiera pueda serlo.

Calendario 2017 para la LOPD - SeptiembreEl propio RGPD define por su artículo 37.5 que esta persona debe de tener un perfil jurídico «…será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39»

El Artículo 38 caracteriza al DPO desde el punto de vista de su posición (entendido como categoría o situación respecto del organigrama corporativo).

En este artículo se le atribuye al responsable o encargado del tratamiento el deber de garantizar al DPO:

  1. Su participación de forma apropiada y en tiempo oportuno de todo en cuanto a materia de Datos Personales se produzca.
  2. El Respaldo en el ejercicio de las funciones. Ésta se especifican en el artículo 39 del presente Reglamento. Se hace explícito como por parte de los responsables deben de facilitar a dicha figura recursos para sus funciones, acceso a datos personales, lo mismo que a las operaciones de tratamiento. También hace un llamamiento para que el DPO esté constantemente formado.
  3. Plenas facultades para que ejerza sus competencias sin interferencia en las mismas. Se le «blinda» ante despido o sanciones por el cumplimiento de sus deberes en materia de Protección de Datos. Así mismo, se pone de manifiesto la «rendición de cuentas» de éste ante los mandos superiores en el organigrama corporativo.
  4. Su papel de intermediario entre el Responsable o encargado del tratamiento y los afectados, en cuestiones relativas a tratamiento y derechos de los afectados por este Reglamento.
  5. Estar obligado a mantener el deber de secreto y confidencialidad respecto de sus funciones, en base al Derecho de la Unión y de los estados miembros.
  6. Libertad de ejercer otras funciones y cometidos.

El artículo 39, hace explícito las funciones o tareas a realizar que le corresponde a esta figura. En este sentido, lo que salta a primera vista, es la condición de mínimas. Esto significa que se le puede atribuir más.

  1. El deber de informar y asesorar al responsable o encargado del tratamiento, y a trabajadores, que se ocupen del tratamiento en cuanto a obligaciones legales se les atribuya por legislación europea o de sus estados miembros.
  2. Controlar  que se cumpla lo dispuesto en el RGPD, otras disposiciones europeas así como de estados miembros, además de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales: asignación de responsabilidades, concienciación y formación del personal y auditorías.
  3. Ante una evaluación de impacto  ofrecer el correspondiente asesoramiento y supervisar su implantación.
  4. Su deber de ponerse a disposición en cuanto a materia de protección de datos le reclame la AEPD o las homólogas de las Comunidades Autónomas de Madrid, Barcelona y País Vasco.
  5. Actuar como contacto entre la autoridad de control y el responsable o encargado de tratamiento, en cuanto a cuestiones que surjan por tratamiento de datos de carácter personal. Se incluye la consulta previa del artículo 36 (Consulta Previa)    y realizar consultas, en su caso, sobre cualquier otro asunto.
  6. Desempeñar sus funciones considerando la correspondiente atención debida a riesgo por operaciones de tratamiento. Para ello considerará la naturaleza, el alcance, el contexto y fines del tratamiento.

Fuente-Información: © RGPD 2016/679 / © Noticias Jurídicas
Fuente-Foto: © de su autor / © publicación