Reglamento General de Protección de Datos (RGPD)

Entre el conjunto de obligaciones plasmadas en el Reglamento General de Protección de Datos (RGPD) tenemos el tan comentado nombramiento del Delegado de Protección de Datos (DPD); un cuadro productivo que resulta trascendental para la nueva filosofía de trabajo tejida alrededor de esta área.

El DPD es una figura profesional que actúa como garantía sobre el cumplimento de la normativa de Protección de Datos en una estructura productiva. Naturalmente, la necesidad de nombrar o contar con él está sujeta a varios matices, no en todos los casos es necesario.

El RGPD establece, en su artículo 37.1, que las empresas deberán contar con un DPD en los siguientes supuestos mínimos:

-Cuando la gestión de los datos se lleva a cabo a instancias de una autoridad u organismo de carácter público (con la excepción de los tribunales).      

-Durante los procesos donde se hace necesaria una continua o sistemática vigilancia de los datos, por su relevancia, volumen o sensibilidad.  

-Cuando la gestión de los datos implican tratamientos a gran escala, por ejemplo, en categorías como lo contemplado en el artículo 9. Así como lo recogido en el artículo 10: datos sobre infracciones o condenas.

Existen varios elementos a tener en cuenta al referirnos a la observación sistemática (de “interesados a gran escala”). En las "Directrices sobre delegados de protección de datos" se reúnen tres conceptos clave:

En primer lugar, lo “habitual”: cuando las acciones de control o vigilancia tienen una periodicidad preestablecida en algún protocolo, por ejemplo. En segundo lugar, lo “sistemático”: la acción está especificada en un método de trabajo o como parte de una estrategia mayor. Y, por último, tenemos la “gran escala”: los datos tienen un alcance poblacional, una diversidad o volumen que los convierte en material sensible. 

Adicionalmente, los proyectos de ley orgánica que se tramiten en cada Estado pueden reunir otros supuestos donde debería nombrarse un Delegado de Protección de Datos. En verdad, cualquier empresa u organización (siendo ésta persona física o jurídica) puede designar a este profesional libremente. Sin embargo, siendo obligatorio o no, el DPD se rige por lo recogido en los artículos 37 a 39 del RGPD.

El DPD es una figura profesional, es decir, necesita acreditar una formación superior: involucra conocimientos teórico-prácticos en Derecho y la Protección de Datos. De igual forma, su nombramiento debe ser comunicado de la manera indicada por el Grupo de Trabajo del artículo 29.

En todos los casos, los usuarios y la autoridad competente deben tener un acceso claro a los datos de contacto del DPD: correo electrónico, números de teléfono, etc. Esos canales de contacto deben mantenerse y pueden ampliarse cuando se inicia una comunicación relacionada con la política de protección de datos.

También se recomienda una política activa, informando a los miembros del equipo o empleados sobre los datos de contacto del Delegado de Protección de Datos. Es decir, disponibilidad interna y externa de la información.

El alcance de sus responsabilidades, también reflejado por Grupo de Trabajo del Artículo 29 de la Comisión Europea, deja clara su relevancia para la nueva normativa: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.”

Los actuales modelos de seguridad y gestión de información, de hecho, permiten una parcialización y jerarquización de las tareas que facilita la actuación de un máximo responsable. También puede resultar enormemente útil la creación de un comité técnico multidisciplinar destinado a discutir puntos conflictivos para la aplicación del RGPD en la organización. 

FORMACIÓN EN PROTECCIÓN DE DATOS PARA UN CAMBIO CULTURAL

En la implementación de esta normativa, observamos un importante cambio cultural: una profundización del concepto de seguridad, responsabilidad empresarial y valor agregado basado en la generación de confianza.

Finalmente, debemos referirnos a la importante ventana profesional que abren todo estos cambios, sobre todo con las herramientas formativas adecuadas. La Fundación UNED ha puesto en marcha la Especialización en Protección de Datos y Ciberseguridad. Reglamento General de Protección de Datos (RGPD).

Un Curso reconocido por la Entidad de Certificación del INGITE con designación provisional otorgada por la Agencia Española de Protección de Datos (AEPD) como Entidad de Certificación DPD. La realización de este curso permite, una vez finalizado, realizar el Examen para certificarse como DPD con cualquier entidad de certificación que conste en la página web de la Agencia Española de Protección de Datos.

 Especialización en Protección de Datos y Ciberseguridad. Reglamento General de Protección de Datos - F UNED