Descubre de la mano de Eduard Chaveli, CEO en Govertis y partner referente de la Asociación Española para la Calidad en materia de Privacidad, “Las claves de la nueva figura del Delegado de Protección de Datos DPD/DPO”, ponencia impartida en el encuentro Insight AEC que celebramos el pasado 16 de noviembre….

Breve resumen de la ponencia las Claves del DPO

En la ponencia Eduard Chaveli nos expuso unas pinceladas sobre el nuevo marco normativo:

• Reglamento General de Protección de Datos (RGPD).  Deroga la Directiva 95/46/CE.
• Intento de armonizar u homogeneizar la normativa
• Entró en vigor el 24 de mayo de 2016.
• Efecto directo. No requiere transposición al derecho interno.
• Será exigible a partir del 25 de mayo de 2018.
• Hasta la fecha deberemos realizar una adaptación progresiva.
• Nueva LOPD. Actualmente existe un proyecto (NLOPD) 

Además, nos comentó algunos de los puntos a destacar sobre las principales novedades y obligaciones del reglamento, y mostró una comparativa de las principales obligaciones entre la LOPD y el RGPD.

Pudimos ver una hoja de ruta del RGPD, así como otros aspectos destacables del cambio.

Y, a continuación, realizó un análisis en detalle de las Funciones del DPD en el RGPD:

1. Informar y asesorar al responsable, al encargado y empleados.
2. Supervisar el cumplimiento incluyendo asignación de responsabilidades, concienciación y formación del personal.
3. Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.

Eduard Chaveli también nos mostró cómo se trasladan estas funciones al Esquema de Certificación de DPD y a las recomendaciones de la AEPD para AAPP:

• Cumplimiento de principios relativos al tratamiento: limitación de finalidad, minimización o exactitud de los datos
• Identificación de las bases jurídicas de los tratamientos
• Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos
• Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas
• Diseño e implantación de medidas de información a los afectados por los tratamientos de datos
• Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados
• Valoración de las solicitudes de ejercicio de derechos por parte de los interesados
• Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos requeridos
• Identificación de los instrumentos de TID adecuados a las necesidades y características de la organización y de las razones que la
• Diseño e implantación de políticas de protección de datos
• Auditoría de protección de datos
• Establecimiento y gestión de los registros de actividades de tratamiento
• Análisis de riesgo de los tratamientos realizados
• Implantación de las medidas de protección de datos desde el diseño y por defecto adecuadas a los riesgos y naturaleza de los tratamientos
• Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
• Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos y de notificación a las autoridades y a los afectados
• Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos
• Realización de evaluaciones de impacto sobre la protección de datos
• Relaciones con las autoridades de supervisión
• Implantación de programas de formación y sensibilización del personal en materia de protección de datos

Además de estas funciones, se desarrolló cuál debería ser la posición del DPD/DPO dentro de la organización, así como en qué supuestos puede ser exigible y cómo se puede organizar.

Luego se centró en las cualidades que debe de tener el delegado de prevención de datos, tanto implícitas como explícitas. Analizó cuáles deben ser los conocimientos que debe tener, y  cómo el DPD podrá acreditar estos conocimientos, incluyendo la posible opción de obtener certificaciones, que avalen la experiencia y la formación mínima.