915 752 750
aec@aec.es
915 752 750
aec@aec.es
Una de las cuestiones vitales cuando hablamos de proteger datos de carácter personal es la correcta definición de las responsabilidades que deben asumir cada una de las partes autorizadas para su tratamiento, ya que, estar en uno u otro supuesto, generará obligaciones diferentes.
Quizás, de las responsabilidades principales que se definen en el RGPD, la definición del rol del DPD esté perfectamente delimitada y, de hecho, esta figura ha sido objeto de numerosos artículos en donde se han analizado rigurosamente cada una de las características del mismo. No obstante, en la práctica, debido a la gran casuística existente, a legislaciones sectoriales y al gran volumen de flujo de datos, entrante y saliente, de cada Responsable del Tratamiento, en ocasiones, resulta difícil diferenciar cuando estamos ante un acceso a datos, o ante una cesión, siendo complicado atribuir cada rol mencionado.
Por un lado, ya con anterioridad a la entrada de esta nueva legislación europea, esta era una de las cuestiones ampliamente debatidas. Debido a este hecho, en algunos informes de la Agencia Española de Protección de Datos o “AEPD” se pueden encontrar argumentos que nos ayudan a delimitar, en cada caso concreto, esta diferenciación. En este sentido, especialmente ilustrativo es el Informe Jurídico 0290/2008, en donde se configuraba al Encargado como una parte externa que no tiene control sobre los tratamientos, sino que simplemente trata información para finalidades del Responsable. La característica clave sería que el Encargado debería limitarse a cumplir con las instrucciones del Responsable.
No obstante, por otro lado, a parte de la producción jurisprudencial o doctrinal al respecto que se pudiera consultar, también se debe tener en cuenta el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29 sobre conceptos del Responsable del Tratamiento y el Encargado del Tratamiento. En este documento, después de un análisis pormenorizado del concepto, se refuerza la necesidad del tratamiento de datos por cuenta del Responsable como característica principal que debe tener un Encargado, y establece, como principal punto de distinción para determinar la posición de Responsable, el poder de decisión sobre las finalidades para las que se destinan los datos.
En consecuencia, como ha argumentado la AEPD en alguno de sus informes, “para determinar si nos encontramos en presencia de un Encargado del Tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado. Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero”. No será considerado, por tanto, como un acceso a datos cuando ese vínculo de poder se rompe, y la tercera empresa que trata datos destina, para otras finalidades, los datos obtenidos. De cualquier forma, el propio Grupo de Trabajo del Artículo 29, en sus conclusiones, reconoce que, aun habiéndose esforzado en la explicación de estos conceptos, será preciso atender a las circunstancias del caso concreto para una correcta definición de responsabilidades y que esta asignación de roles o responsabilidades seguirá planteando dificultades en la práctica, lo que, sin duda, podrá justificar un análisis detallado para lograr una solución adecuada.
Si quieres tener controlado en tu día a día toda la documentación y los procesos necesarios para ejercer tu labor como DPD, completa tu formación con el curso «el día a día del DPD«.
El equipo Govertis
El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.
La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.
Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:
Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló sobre la labor del DPD. No te pierdas la ponencia completa:
A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.
Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto. Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.
Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el que sus miembros pueden plantear dudas e intervenir en los temas de debate.
¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.
KEEP READINGEl artículo 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), dispone que las funciones del DPO serán, como mínimo, las siguientes:
Por su parte el apartado 2º del art 35 del RGPD insiste en el rol de asesor del DPO: “El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales dentro de las funciones del RGPD de cooperación y punto de contacto con la autoridad de control y los interesados, introduce unas disposiciones en el artículo 37 que otorgan al DPO funciones de mediador y resolución extrajudicial de conflictos:
Por un lado, los interesados podrán con carácter previo a la presentación de una reclamación ante la autoridad de control competente, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. El DPO tendrá dos meses desde la presentación de la reclamación para comunicar al interesado que solución se da a su reclamación. Esta previsión se ha creado en desarrollo del apartado 4º del art 38 del RGPD: “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.
Por otro lado, si el interesado no ha reclamado previamente al DPO, la autoridad de control, podrá remitir la reclamación al DPO para que en el plazo de un mes intente dar una respuesta satisfactoria a la reclamación. Si no lo logra o bien no responde en el plazo de un mes, la autoridad de control podrá abrir el procedimiento sancionador correspondiente. En este supuesto la Agencia Española de Protección de Datos viene exigiendo en estos casos:
Si el reclamante queda satisfecho o la autoridad de control observa que se ha actuado conforme a la normativa vigente o se han adoptado las medidas oportunas, puede posteriormente no admitir a trámite la reclamación de acuerdo con el art 65.4 de la LOPDGDD: “Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica”. Esta previsión dota al DPD de una posición privilegiada a la hora de asesorar, supervisar y actuar como punto de contacto con vistas a evitar la apertura de un procedimiento sancionador mediante la mediación y la resolución extrajudicial de conflictos, lo que lo convierte en una figura muy recomendable en los casos en los que su nombramiento no es obligatorio sino voluntario.
Es importante indicar que el DPO no resuelve en los casos anteriores la reclamación, sino que asesora a la entidad a la que representa sobre la mejor solución y la mas acorde con la normativa, y posteriormente traslada al reclamante o a la autoridad de control la respuesta de dicha entidad. Una cosa es que el DPO prepare y elabore la respuesta, y otra cuestión diferente es que la respuesta sea imputable al DPO incluso aunque la haya firmado.
Si el DPO responde a una reclamación de un interesado o a una solicitud de ejercicio de derecho ARSOPL, su actuación debe consistir en remitir la respuesta de la entidad a la que representa.
Si un DPO firma y presenta a la autoridad de control la respuesta de la entidad a la que representa, lo debe hacer en base a los antecedentes, información y decisiones que le ha facilitado y ha tomado la entidad a la que representa. Todo ello puede sustentarse en los siguientes aspectos:
Si el responsable del tratamiento está en desacuerdo con el consejo expresado por el DPO, la documentación de la evaluación de impacto de la protección de datos deberá justificar específicamente por escrito por qué el consejo no se ha tenido en cuenta.
Equipo de Govertis
Ayer inauguramos el Club DPD de la Asociación Española para la Calidad por todo lo alto. Para tan importante ocasión contamos con diversos ponentes de primer nivel en el ámbito de la Protección de Datos.
Aunque solo algunos miembros del Club DPD tuvieron ocasión de asistir personalmente, todos pudieron presenciar las ponencias vía streaming, y a los no miembros interesados en la materia, se les invitó a disfrutar del mismo modo de las dos primeras ponencias de la jornada.
¿El motivo de celebrar este insight exclusivo? La entrada en vigor el pasado 7 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
El encuentro comenzó con la bienvenida de Alberto González, gestor del Club DPD, quien además de informar a los asistentes sobre lo que estaban a punto de presenciar, habló sobre el Club DPD y dio algunos datos muy positivos, entre los que cabe destacar que ya somos más de 180 miembros. Durante todo el evento contamos con Eduard Chaveli como moderador, uno de los máximos referentes en Seguridad y Protección de Datos, y Socio y CEO en GOVERTIS. Además, los asistentes, tanto presenciales como en streaming, pudieron plantear sus preguntas y debatir de los aspectos de interés con los ponentes.
Comenzó rompiendo el hielo Cristina Martínez Garay, abogada especialista en Derecho de las Tecnologías de la Información en ECIJA Law & Technology y profesora en diferentes masters. Cristina analizó las novedades que introduce la nueva Ley en materia de Régimen Sancionador. Lo hizo abordando aspectos de gran relevancia, destacando los motivos por los cuales es importante conocer el Régimen Sancionador, y haciendo hincapié en un aspecto de gran interés general: las infracciones y sanciones. Puedes ver el vídeo completo de la ponencia:
A continuación, Felix Haro, Associate – Legal & Privacy Advisor en GOVERTIS y profesor de diferentes masters, analizó el título X de la LOPDGDD que hace referencia a la Garantía de Derechos Digitales, prestando especial atención al Derecho a la Desconexión Digital en el ámbito laboral. Puedes ver el vídeo de la ponencia:
Tras una pausa para el café y recuperar fuerzas, los miembros del Club DPD pudieron continuar disfrutando de la segunda parte de este insight. Este segundo bloque contó con la participación de Verónica Gutiérrez, Associate – Legal & Privacy Advisor en GOVERTIS y certificada como DPD de por el AEC-CERPER. Verónica llevó a cabo un taller práctico sobre cómo se debe elaborar una política de Desconexión Digital, con la cual deben contar todas las organizaciones y empresas en aplicación de la nueva normativa.
Para finalizar, contamos con la aportación de Tatiana Espinosa de los Monteros Rosillo, Directora Global de Relaciones Laborales de Telefónica, quien expuso el interesante proyecto de Telefónica “Desconecta para Reconectar”.
Sin duda se trató de un encuentro único dedicado a los Derechos Digitales. Pero para los miembros del club la experiencia no finaliza aquí, a través del Club DPD Privado en la red social Linkedin pueden continuar debatiendo con los ponentes y otros expertos de la materia, plantear sus dudas e inquietudes. Además, recibirán el vídeo completo de la jornada para poder visionarlo cuando gusten, y una infografía del taller práctico que se realizó sobre la política de Desconexión Digital.
¿Te gustaría poder debatir con los expertos y recibir todo el material exclusivo? ¡No lo pienses más! Si todavía no eres miembro, apúntate al Club DPD y disfruta de todo lo que tiene que ofrecerte.
KEEP READING
La nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDyGDD) incluye, en su artículo 37, como función del Delegado de Protección de Datos (DPD), la de gestionar las reclamaciones de los interesados, incluso con carácter previo a la presentación de las mismas ante la AEPD. En caso de hacer uso de esta alternativa, lo lógico es que se inicien negociaciones en las que el DPD pretenda la puesta en marcha de las medidas necesarias para el cese de la supuesta violación, e incluso solicite una compensación por los daños y perjuicios ocasionados. Ahora bien, cosa distinta a esta genuina negociación es que exija dinero a cambio de no denunciar los hechos, tanto si se trata del interesado como de un tercero que ha tenido conocimiento de ello. Aunque esto no sea lo habitual, debemos saber que este modo de actuar podría ser constitutivo de un delito de extorsión del art. 243 CP. Conviene analizar algunos de los requisitos exigidos por la jurisprudencia para la apreciación de este delito:
El tipo penal exige que haya violencia o intimidación. En cuanto al grado exigido, la SAP de Madrid, nº 625/2017, establece que únicamente requiere un grado medio, por lo que bastaría con que el ultimátum de la denuncia para el caso de no acceder a la condición económica, infunde una sensación de miedo o angustia por la posible sanción económica o el daño a su imagen.
En lo relativo a la exigencia de la realización de un acto o negocio jurídico se ha pronunciado la AP de Madrid en la misma Sentencia, señalando que “puede tratase de un simple acto informal o un negocio jurídico, de mayor complejidad”.
También podríamos preguntarnos si es necesario que la entidad, privada o pública, acceda al pago, u otra condición exigida, para que el delito de extorsión se entienda consumado. Encontramos respuesta en Auto del TS nº 88/2013, que señala que “la consumación se produce tan pronto se consigue la realización u omisión del acto o negocio jurídico, aunque cualquier episodio posterior ha de pertenecer no al tracto comisivo de la infracción sino a su fase de agotamiento”.
Aunque el delito de extorsión es el que más se puede ajustar a los hechos objeto de este artículo, estos mismos hechos también podrían tener encaje en otros delitos de naturaleza similar, como el de amenaza del art. 171.1 CP. Como ya hemos comentado, el delito de extorsión exige doblegar la voluntad del sujeto pasivo, mientras que en el de amenaza condicional basta con la mera proliferación de la misma para que el delito se entienda consumado. Por lo que, en caso de considerarse extorsión, lo sería en grado de tentativa. De hecho, es habitual solicitar como alternativa al delito de extorsión, cuando se da en grado de tentativa, el de amenazas condicionales.
Podemos encontrar en la SAP de Madrid, nº 86/2011, un claro ejemplo de que estas conductas encajarían en el delito de extorsión. En este caso, el director de un medio de comunicación solicitaba a una entidad bancaria la cantidad de 72.000 euros a cambio de no acudir a la AEPD a denunciar la pérdida de expedientes de clientes. La AP le condenó por delito de extorsión en grado de tentativa.
En definitiva, este tipo de conductas serían reprochables penalmente, siendo el delito de extorsión el que más podría ajustarse, a priori, a los requisitos exigidos por el CP y jurisprudencia. No obstante, habrá que estar al caso concreto y será decisivo contar con una base probatoria sólida. El papel del DPD en estos casos será crucial, pues es el punto de contacto en la relación entre interesados, entidades y autoridad, pudiendo llegar a considerarlo un mediador.
Equipo de Govertis
El pasado 5 diciembre de 2018, el Boletín Oficial del Estado publicó la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Aunque el Reglamento 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 fuese aplicable en todos los estados miembros desde el pasado 25 de mayo, esta nueva Ley Orgánica nos ha dado luz en multitud de asuntos que quedaron en interrogante tras la publicación del Reglamento. Uno de ellos, a tenor del artículo de hoy, es aquel relacionado con el tratamiento de los datos de carácter personal de profesionales por cualquier entidad y su regulación actual.
En primer lugar, cabe aclarar que este concepto no es ni mucho menos nuevo y ya fue regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que excluyó de su ámbito de aplicación los referidos a personas jurídicas y empresarios individuales. Esta exclusión, patente en los artículos 2.2 y 2.3, tenía su limitación precisamente en que tan solo se tratase de datos de profesionales como su nombre, apellidos, cargo, email corporativo o teléfono de empresa.
El RGPD trajo dudas
El RGPD no trajo claridad respecto a este tema pues no excluye de manera expresa el tratamiento de datos de empresarios individuales o contactos profesionales relativos a personas jurídicas. Esto provocó que se entendiese que los datos mencionados deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable.
Esta incertidumbre que ha durado algo más de dos años, ha sido finalmente solventada por la entrada en vigor de la nueva LOPD y GDD que hace mención especial al tema que nos incumbe en su artículo 19, Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. El tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:
Por lo tanto, el legislador español ha seguido con el criterio ya existente en la LOPD de 1999 y, afortunadamente para el tejido empresarial español, este tratamiento de datos tan habitual en el día a día queda amparado por un interés legítimo de la entidad.
El Equipo Govertis
Después de casi un año de trámite parlamentario, el Pleno del Senado aprobó el pasado miércoles día 21 de noviembre, por 221 votos a favor, 21 en contra y ninguna abstención, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que desarrolla en España algunos contenidos del Reglamento General de Protección de Datos, tal y como habilita esta norma al legislador nacional.
Hay diversos aspectos que ya se conocían en versiones anteriores y se han consolidado y otros que se han modificado. A continuación recogemos algunos de los aspectos más destacables si bien próximamente podremos el zoom en la nueva regulación de materias concretas.
Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes: El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc. en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”.
De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual.
El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación.
De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.
También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos.
En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia.
También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados.
Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
El Equipo Govertis
Una de las medidas más novedosas que ha traído consigo el Reglamento General de Protección de Datos (RGPD) es la exigencia de la figura del Delegado de Protección de Datos (DPD), en determinados supuestos, para garantizar el cumplimiento del RGPD. Tras la consolidación de esta figura emergente, la Asociación Española para la Calidad (AEC) ha asumido la responsabilidad de ayudar a estos profesionales, y sus empresas y organizaciones, a gestionar los cambios a los que deben hacer frente, y para llevar a cabo esta tarea ha creado “El Club de Delegados de Protección de Datos”, del que Govertis es partner estratégico.
Esta iniciativa ya fue anunciada en primicia por Marta Villanueva, Directora General de la AEC, en el Insight exclusivo DPD sobre RGPD que organizó la entidad el pasado 2 de octubre, moderado por Eduard Chaveli (Socio y CEO en Govertis), en el que se presentó el “Club DPD” como un espacio referente de conocimiento, pertenencia y relación para los profesionales, y en el que ya se comenzaron a intercambiar experiencias de DPD´s de marcas referentes allí presentes.
Tras aquella presentación inicial, ha llegado el momento de dar comienzo a esta iniciativa con un primer encuentro el próximo 28 de noviembre, en el Auditorio Caja de Música del Palacio de Cibeles (Madrid), en el que se reunirán profesionales destacados del ámbito de la privacidad con el objetivo de compartir su conocimiento, experiencias e inquietudes en torno a la figura del DPD
Este primer encuentro comenzará con una presentación de la mano de Marta Villanueva, que inaugurará el Club e informará sobre el Plan de actividades del mismo para el año 2019. Tras la presentación, se abordarán las novedades más importantes introducidas en la Nueva LOPD de la mano de Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial (CGPJ) y Jefe de Área en el Centro de Documentación Judicial (CENDOJ). A continuación, tendrá lugar la Mesa Redonda, en la que una selección de DPD´s de referencia de diferentes sectores compartirán sus experiencias: José Antonio Muñoz (Telefónica), María Luisa Muñoz Martínez (ONCE), Alejandro Artetxe (Hospitalarias Provincia de España), y Lluís Sanz i Marco (Ayuntamiento de Barcelona), y que será moderada por Eduard Chaveli, Socio y CEO en Govertis. Para finalizar, Javier Villegas, Lead Advisor Privacidad Sector Salud en Govertis, nos trasladará el punto de vista más operativo y el valor más cotidiano, a través de experiencias prácticas y la documentación más actualizada para el trabajo diario del DPD. Para más información, puedes encontrar la agenda detallada del encuentro en el siguiente enlace.
Si quieres sumarte a este primer encuentro, tan solo debes formalizar la inscripción en el siguiente enlace. ¡No te lo puedes perder!
KEEP READINGEste 2 de octubre hemos tenido el placer de celebrar un webinar-insight exclusivo sobre el RGPD, dando continuidad a la misión de la AEC de ofrecer toda la ayuda en la interpretación de la nueva normativa y su aplicación en los temas clave.
Borja Adsuara, Profesor, Abogado y Consultor, experto en Derecho, Estrategia y Comunicación Digital, nos habla sobre el Interés legítimo, que con el Nuevo Reglamento cobra especial relevancia. Javier Cao, Ingeniero en Informática, Lead Advisor en Ciber Riesgo en Govertis, comparte las mejores prácticas y lecciones aprendidas en la Gestión de Brechas de seguridad.
El evento ha sido presentado por Marta Villanueva, Directora General de la AEC, que además ha anunciado en primicia la creación de un Club de Delegados de Protección de datos, que será presentado a finales de noviembre. Eduard Chaveli, CEO de Govertis y uno de los máximos exponentes en Seguridad y Protección de datos ha sido el moderador del evento.
El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), es una figura que introduce como obligatoria el Reglamento General de Protección de Datos (RGPD) para supervisar internamente, en cada entidad, el cumplimiento de las obligaciones que impone el RGPD.
El DPD, puede ser un empleado interno de la empresa o puede ser externo, pero debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El DPD debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
En cuanto a las funciones del DPD / DPO, el artículo 39 del RGPD indica que tendrá como mínimo las siguientes:
El DPD/DPO, podrá asumir otras funciones dentro de la empresa siempre que tengan relación con los tratamientos de datos personales y que no creen un conflicto de intereses entre sus funciones como DPD y las funciones o intereses de otros departamentos.
Para el correcto desempeño de sus funciones, el DPD tiene que prestar atención a los riesgos asociados a las operaciones de tratamiento. El DPD tendrá que tener en cuenta la naturaleza, el contexto, el alcance y las finalidades del tratamiento que se quiera realizar.
En Julio de 2017 la Agencia Española de Protección de Datos presentó su esquema de certificación de delegados de protección de datos. Estas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD.
El esquema de certificación establece los requisitos de competencia para la persona que pretenda obtener la acreditación como DPD. Para poder acceder a la fase de evaluación, se requiere una experiencia o formación relevante en materia de protección de datos de carácter personal.
La prueba de evaluación permitirá constatar que se tienen los conocimientos teóricos y prácticos, las habilidades personales y la capacidad profesional necesarios. El esquema de certificación exige la sujeción a un código ético que incluye los principios de Legalidad e integridad, profesionalidad, responsabilidad en el desarrollo de la actividad profesional, imparcialidad, transparencia y confidencialidad.
El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del Delegado de Protección de Datos en sus artículos 34 a 37.
Destacando en la redacción actual la posición que ocupa el DPD como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al DPD en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.
El equipo de profesionales de Govertis
KEEP READING
