You Tube
Linkedin
EDS Emprenedor/T3
EDS
Emprenedor/T3
Compromís amb el medi ambient
Compromís amb el
medi ambient
Compromís amb el medi ambient
Compromís
social
Portal del treballador
Portal
treballadors/es
Portal empreses
Portal
Empreses
Menu

CIRCULARS

Buscador per paraules:
1 Circulars trobades
2022 2021 2020 2019 2018 2017 2016 2015 2014 2013 2012

La figura del (DPO) Data Protection Officer/Delegat de Protecció de Dades (DPD) en el nou reglament general de protecció de dades - RGPD

Què és un Delegat de Protecció de Dades (DPD)?

Aquesta figura constitueix un dels elements claus de l'RGPD i un garant del compliment de la normativa de protecció de dades i les organitzacions, si bé la responsabilitat sobre aquest compliment recau en el responsable o encarregat.

El Delegat de Protecció de Dades (DPD), s'ha de nomenar atès a les seves qualitats professionals i en particular ha de comptar amb coneixements especialitzats del Dret i pràctica en protecció de dades, no se li exigeix ​​cap altre tipus de titulació i tampoc ha d'estar certificat.

Actua de forma independent i entre les funcions que se li atribueixen hi ha les d'informar i assessorar el responsable o encarregat del tractament a més de supervisar que compleixen amb el RGPD. No obstant això, el detall de totes les seves funcions està inclòs article 39 del RGPD. A més convé precisar que el DPD pot ser personal intern o extern, persona física o persona jurídica.

Quan s'ha de nomenar un Delegat de Protecció de Dades?

El RGPD, en el seu article 37.1, recull els supòsits en què és obligatori la designació d'un delegat de Protecció de Dades, i que són els següents:

  • El tractament el porti a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
  • Les activitats principals del responsable o de l'encarregat consisteixin en operacions de tractament, que per raó de la seva naturalesa, abast i / o fins, requereixin una observació habitual i sistemàtica d'interessats a gran escala.
  • Les activitats principals del responsable o de l'encarregat consisteixin en el tractament a gran escala de categories especials de dades personals d'acord amb l'article 9 i de dades relatives a condemnes i infraccions penals a què es refereix l'article 10.

Per la seva banda, la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, assenyala, en el seu article 34, que els responsables i encarregats del tractament hauran de designar, en tot cas, un delegat de protecció de dades quan es tracti de les següents entitats:

  1. Els col·legis professionals i els seus consells generals.
  2. Els centres docents que ofereixin ensenyaments en qualsevol dels nivells establerts en la legislació reguladora del dret a l'educació, així com les universitats públiques i privades.
  3. Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques d'acord amb el que disposa la seva legislació específica, quan tractin habitual i sistemàticament dades personals a gran escala.
  4. Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.
  5. Les entitats incloses a l'article 1 de la Llei 10/2014, de 26 de Juny, d'ordenació, supervisió i solvència d'entitats de crèdit.
  6. Els establiments financers de crèdit.
  7. Les entitats asseguradores i reasseguradores.
  8. Les empreses de serveis d'inversió, regulades per la legislació del mercat de valors.
  9. Els distribuïdors i comercialitzadors d'energia elèctrica i els distribuïdors i comercialitzadors de gas natural.
  10. Les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i del finançament del terrorisme.
  11. Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d'investigació comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l'elaboració de perfils dels mateixos.
  12. Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients.

S'exceptuen els professionals de la salut que, tot i estar legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual.

  1. Les entitats que tinguin com un dels seus objectes l'emissió d'informes comercials que puguin referir-se a persones físiques.
  2. Els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d'acord amb la normativa de regulació del joc.
  3. Les empreses de seguretat privada.
  4. Les federacions esportives quan tractin dades de menors d'edat.

Els responsables o encarregats del tractament no inclosos en la relació anterior podran designar de manera voluntària un delegat de protecció de dades.

Els responsables i encarregats del tractament de comunicar en el termini de deu dies a l'Agència Espanyola de Protecció de Dades o, si s'escau, a les autoritats autonòmiques de protecció de dades, les designacions, nomenaments i cessaments dels delegats de protecció de dades tant en els supòsits en què es trobin obligades a la seva designació com en el casa en què sigui voluntària.

Qui nomena el Delegat de Protecció de Dades?

La pròpia Organització.

L'article 37 s'aplica tant als responsables del tractament com als encarregats del tractament respecte a  la designació d'un delegat de protecció de dades (DPD). En funció de qui compleixi a els criteris de designació obligatòria, en uns quants casos només el responsable o només l'encarregat han de designar un DPD, i en altres casos tant el responsable com l’encarregat han  de designar respectius DPD (que hauran de cooperar entre si ).

Quines són les funcions del Delegat de Protecció de Dades?

Les funcions del delegat de Protecció de Dades és troben especificades a l'article 39 del RGPD, sent les següents:

  • Informar i assessorar al responsable o l'encarregat del tractament i als empleats que s'ocupin del tractament, de les obligacions del RPGD i la resta de normativa aplicable en protecció de dades.
  • Supervisar el compliment del RGPD i la resta de normativa aplicable en  protecció de dades, i de les polítiques del responsable o l'encarregat del tractament en aquesta matèria, inclosa l'assignació de responsabilitats, la conscienciació i formació del personal que participa en operacions de tractament, i les auditories corresponents.
  • Oferir l'assessorament que es sol·liciti sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar l’aplicació d'acord amb l'article 35 del RGPD.
  • Cooperar amb l'autoritat de control. Actuar com a punt de contacte de l'autoritat del control per qüestions relatives al tractament, inclosa la consulta prèvia de l'article 36 del RGPD, i realitzar consultes, si escau,  sobre qualsevol altre assumpte.

              Quina és la responsabilitat d'un Delegat de Protecció de Dades?

Els delegats amb protecció de dades (DPD) no són personalment responsables en cas d'incompliment del RGPD. El RGPD deixa clar que és el responsable o l'encarregat del tractament qui està obligat a garantir i ser capaç de demostrar que el tractament és realitza de conformitat amb les seves disposicions (article 24, apartat 1). El compliment de les normes sobre protecció de dades és la responsabilitat del responsable o de l'encarregat del tractament. Per això, quan el DPD apreciï l'existència d'una  vulneració rellevant en matèria amb protecció de dades el ho ha de  documentar i ho comunicarà immediatament als òrgans  de l’administració i direcció del responsable o l'encarregat del tractament.

Què és la certificació del Delegat de Protecció de Dades?

L'Agència Espanyola de Protecció de Dades (AEPD), conscient de la necessitat te el mercat per poder identificar professionals competents per desentelar les funcions de DPD, ha desenvolupat, en col·laboració amb ENAC, un esquema de certificació de persones destinataris a definir el perfil d'aquests professionals.

Aquest esquema segueix als criteris internacionals de certificació de persones d'acordar amb la norma ISO 17024 i les entitats de certificació acreditades per ENAC s’atorgaran  al professional un certificat que implica un reconeixement que te les competències adequades per al desenvolupament de les seves funcions de conformitat amb el RGPD sempre i quan amb caràcter previ que compleixi amb uns requisits i superin un examen. Aquesta certificació de delegats de Protecció de Dades és voluntària.

 

              Departament LOPD

 

CIRCULARS RELACIONADES

08/11/2019 (LOPD)
L’Agència Espanyola de Protecció de dades publica unes llistes de tipus de tractament que requereixen avaluació d’impacte (EIPD) relativa a la protecció de dades (art 35.4)
+
04/02/2019 (LOPD)
La figura del (DPO) Data Protection Officer/Delegat de Protecció de Dades (DPD) en el nou reglament general de protecció de dades - RGPD
+

FORMULARIS / DOCUMENTS

Llistat de tipus de tractament de dades que requereixen una avaluació d'impacte (EIPD) publicada per l'Agència Espanyola de Protecció de Dades
+