phone 915 752 750 email aec@aec.es

    Delegado Protección Datos

    Delegado de protección de datos > El Blog del DPD/DPO >

    El papel del DPD en el modelo de organización y gestión del cumplimiento normativo del ámbito penal

    12 mayo, 2023 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO | , , , , ,

    De manera sucinta, señalaremos los motivos por los que la figura del Delegado de Protección de Datos (DPD) tiene un papel ineludible y relevante en el modelo de organización y gestión del cumplimiento normativo del ámbito penal. Para ver este nexo de unión, partimos de ver quién es el DPD y qué contempla nuestro Código Penal. No abordaremos, en este breve artículo, la equiparación del modelo de organización y gestión del cumplimiento normativo del ámbito penal y de protección de datos personales; en cuanto a la responsabilidad proactiva o accountability.

    Por un lado, el Delegado de Protección de Datos (DPD) es una figura, cuyo nombramiento y designación en una entidad, pública o privada, que efectúa actividades de tratamientos de datos de carácter personal, es obligatoria o, en su caso, de nombramiento y designación voluntaria, conforme al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

    El DPD se ocupa, principalmente, de asesorar y supervisar el cumplimiento de la normativa en materia de protección de datos, por parte de la entidad, responsable o encargada del tratamiento de los datos personales.

    De acuerdo con el artículo 39.2 RGPD “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

    Por otro lado, nuestro Código Penal contempla determinados delitos, como puede ser el delito de descubrimiento y revelación de secretos. Así, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior (artículo 197.5 Código Penal).
    Además, cabe decir que, el Código Penal, en el artículo 31.bis. 5, 1º y 4º, determina que, los elementos básicos del modelo de prevención de delitos, cuya responsabilidad penal pueda atribuirse a una persona jurídica, son, tanto la “identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos” como “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”
    Es por esto que, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal [que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión], la figura del Delegado de Protección de Datos debiera estar presente.

    De este modo, analizando una parte de las funciones del DPD, se puede apreciar que:
    • A fin de evitar la comisión de delitos, en el que el bien jurídico afectado fuera, por ejemplo, datos de categoría especial de la persona física, con el descubrimiento o revelación de secretos, la adopción medidas de seguridad, a nivel organizativo o técnico, conforme al artículo 32 del RGPD, es pertinente. Si no se aplica de forma adecuada la seguridad, además de la comisión de infracción de la normativa en protección de datos, puede dar lugar también a la comisión de delito; así a la persona jurídica, responsable del tratamiento de los datos personales o información, podría atribuirse responsabilidad penal.

    • En todo caso, cabe recordar que, para que un hecho suponga responsabilidad penal de la persona jurídica, debe ser necesario que las medidas que han sido adoptadas estén directamente relacionadas o sean de la misma naturaleza que el delito que se trató de evitar; es decir, si la entidad, por ejemplo, no dispone de un control de accesos a la información para los distintos perfiles, no dispone de una política de seguridad o no puede evidenciarse que el personal tiene conocimiento de los controles implementados en la entidad, puede suponerse que no se han adoptado las medidas necesarias para minimizar el riesgo o “evitar” la comisión del delito. De modo que, la persona jurídica podría tener que responder de la comisión de aquellos hechos cometidos por el personal de su organización y que han supuesto una lesión del bien jurídico a proteger, en este caso, la intimidad de las personas físicas.

    • Por otro lado, el DPD, dentro de un modelo de prevención de delitos, puede configurarse como una de las líneas de defensa dentro de la organización, pudiendo estar vinculado tanto con la 1ª como con la 2ª línea de defensa.

    En este caso, el DPD debe contribuir a la adecuada implantación de aquellos controles que vengan directamente vinculados a la normativa de protección de datos, como la asignación de responsabilidades dentro de los departamentos de la entidad, la concienciación y formación del personal que participa en las operaciones de tratamiento de los datos, la adopción de las medidas de seguridad técnicas relacionadas con el artículo 32 del RGGPD y, por último, la realización de las correspondientes auditorías de aplicación de esos controles.

    La aplicación de determinados controles puede contribuir a minimizar el riesgo de que pueda cometerse alguno de los tipos delictivos, que están directamente relacionados con la protección de datos y, por tanto, reducir la posibilidad de que la organización deba responder jurídicamente de los hechos derivados del incumplimiento de estos controles.

    Ahora bien, en relación con esto, el DPD no debiera auditar las medidas de seguridad que él mismo hubiera indicado a la entidad responsable. De modo que, la auditoria debiera realizarse por persona externa; con esto, se acudiría a la llamada 4ª línea de defensa, la auditoría externa.

    En definitiva, el papel del DPD, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal, es pertinente, debiendo estar cuantas instrucciones emita, a la entidad responsable o encargada del tratamiento de los datos personales, contempladas en el el programa de cumplimiento normativo adoptar para la prevención de la comisión de delitos imputables a la persona jurídica.

    Carolina Tella. GRC Consultant.
    Equipo Govertis

    KEEP READING

    II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

    28 marzo, 2019 |by Beatriz Martin | 0 Comments | DPD DPO | , , , , , , , , ,

    El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

    La Libertad de Expresión y el Testamento Digital

    La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

    Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:

    El Encargado de Tratamiento: deber de Diligencia 

    Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

    A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

    Análisis de Riesgos y Evaluaciones de Impacto

    Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

    Análisis de riesgos

    ¿Quién ha hecho posible este encuentro?

    Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

    ¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

    KEEP READING

    El Delegado de Protección de Datos y sus funciones

    1 junio, 2018 |by Macarena Rodriguez | 0 Comments | DPD DPO | , , , ,

    El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO), es una figura que introduce como obligatoria el Reglamento General de Protección de Datos (RGPD) para supervisar internamente, en cada entidad, el cumplimiento de las obligaciones que impone el RGPD.

    El DPD, puede ser un empleado interno de la empresa o puede ser externo, pero debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. El DPD debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

    En cuanto a las funciones del DPD / DPO, el artículo 39 del RGPD indica que tendrá como mínimo las siguientes:

    1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
    4. Cooperar con la autoridad de control;
    5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

    El DPD/DPO, podrá asumir otras funciones dentro de la empresa siempre que tengan relación con los tratamientos de datos personales y que no creen un conflicto de intereses entre sus funciones como DPD y las funciones o intereses de otros departamentos.

    Para el correcto desempeño de sus funciones, el DPD tiene que prestar atención a los riesgos asociados a las operaciones de tratamiento. El DPD tendrá que tener en cuenta la naturaleza, el contexto, el alcance y las finalidades del tratamiento que se quiera realizar.

    En Julio de 2017 la Agencia Española de Protección de Datos presentó su esquema de certificación de delegados de protección de datos. Estas certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD.

    El esquema de certificación establece los requisitos de competencia para la persona que pretenda obtener la acreditación como DPD. Para poder acceder a la fase de evaluación, se requiere una experiencia o formación relevante en materia de protección de datos de carácter personal.
    La prueba de evaluación permitirá constatar que se tienen los conocimientos teóricos y prácticos, las habilidades personales y la capacidad profesional necesarios. El esquema de certificación exige la sujeción a un código ético que incluye los principios de Legalidad e integridad, profesionalidad, responsabilidad en el desarrollo de la actividad profesional, imparcialidad, transparencia y confidencialidad.

    El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, contempla la figura del Delegado de Protección de Datos en sus artículos 34 a 37.
    Destacando en la redacción actual la posición que ocupa el DPD como interlocutor del responsable ante la Agencia Española de Protección de Datos y la relevancia que le otorga la ley al DPD en la organización interna de la empresa conforme a la redacción del artículo 36.2 del Proyecto de Ley.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

     

    KEEP READING

    Ya tenemos la autorización provisional para certificar Delegados de Protección de Datos

    15 marzo, 2018 |by Macarena Rodriguez | 0 Comments | DPD DPO | , , , , ,

    La AEC ha obtenido la autorización provisional para certificar a Delegados de Protección de Datos (DPD), según el esquema de certificación elaborado por la Agencia Española de Protección de Datos, en colaboración con la Entidad Nacional de Acreditación (ENAC).

    KEEP READING

    Principio de Independencia en el RGPD aplicable a las Autoridades de Control

    16 febrero, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , ,

    En el presente post, ahondaremos sobre el principio de independencia, que el Reglamento Europeo de Protección de Datos (RGPD) ha dotado a las Autoridades de Control con las que el Delegado de Protección de Datos (DPD-DPO) tendrá que relacionarse de manera habitual.

    El RGPD dedica el Capítulo VI a las Autoridades de Control independientes, concretamente las regula en los artículos 51 al 59.

    KEEP READING